Na nedávné konferenci VB2020 localhost přednášeli analytici Jakub Souček a Martin Jirkal o svém výzkumu latinskoamerického bankovního malware.
Jedna z hlavních oblastí, které se český analytický tým věnuje, je botnet tracking, tedy dlouhodobé sledování určité malware rodiny. Latinskoamerickému bankovnímu malware se celosvětově nevěnovalo příliš mnoho pozornosti.
Po upozornění jednoho z našich partnerů v roce 2016 jsme se rozhodli prozkoumat tento typ malware detailněji. Když jsme zjistili, kolik zajímavých a různých rodin v regionu útočí, pustili jsme se do jejich analýz. Naštěstí jazyková bariéra nekomplikuje zkoumání kódu, pouze čas od času porozumění textu spamů, které malware šíří.
Na analýze pracoval náš tým roky. Mimo jiné analytici vytvořili vlastní sledovací moduly, tedy počítačové programy, které jsou schopné automaticky extrahovat užitečné informace ze skupin podobných vzorků malware.
Analýza lokálního malware má globální přínos
Za většinou latinskoamerického bankovního malware stojí bankovní trojany. Ty se neustále vyvíjejí a integrují dalších techniky a taktiky.
Celkový výzkum přinesl velmi cenné informace a přehled o tom, jak a v jakém množství tento typ malware útočí. Na základě toho lze velmi rychle a efektivně rozlišit rodiny a získat veškeré důležité informace. I díky tomu, že výzkum nadále pokračuje, dokáže ESET uživatele v Latinské Americe bezprostředně chránit před novými typy malware a variantami známých rodin. Podobný výzkum dalších rodin probíhá po celém světě.
Výzkum má význam i pro Evropu. Od konce roku 2019 zaznamenává ESET expanzi některých rodin za hranice Latinské Ameriky, konkrétně do Španělska, Portugalska a Itálie.
Jednotlivé rodiny jsou si až podezřele podobné
Z výzkumu vzešlo zajímavé zjištění: operátoři těchto bankovních trojských koní jsou mezi sebou v kontaktu. Poprvé si toho náš tým všiml při analýze algoritmů použitých pro šifrování řetězců. Většina latinskoamerických bankovních trojanů používá velmi jednoduchá šifrovací schémata, která nejsou v širší programovací komunitě obecně známá, ale přesto se stejný algoritmus vyskytuje v šesti různých rodinách. V průběhu výzkumu jsme zachytili mnoho dalších takových podobností a dokonce i několik milníků –změn, které ovlivnily podobu prakticky všech identifikovaných rodin těchto trojských koní.
Ačkoli sdílení znalostí není mezi kyberzločinci neobvyklé, zaujalo nás, kolik společných znaků mají tyto regionální hrozby. V prezentaci níže naši analytici představili všechny společné charakteristiky, které objevili, včetně časové osy jejich vývoje. Popsali také, jak se liší modus operandi těchto bankovních trojských koní od těch ve zbytku světa.
Shlédněte celou prezentaci:
Zaujalo vás téma? Stáhněte si whitepaper v PDF.