Nieuw botnet Jericho mikt op banken
Palo Alto heeft zeker 42 unieke samples gevonden, die echter duidelijk verband houden met elkaar en behoren bij het botnet Jericho. Het botnet is ontdekt met behulp van WildFire, een cloudgebaseerde analyse engine van Palo Alto, die onbekende bestanden opvangt en analyseert in een gevirtualiseerde malware sandbox.
Shutterstock
Shutterstock
Het botnet richt zich op zeker 100 domeinen van voornamelijk banken en verzekeraars.
Onopgemerkt
De malware lijkt er vooral op gebouwd zo lang mogelijk onopgemerkt in een systeem te blijven. Hij kan zichzelf injecteren in de logon van Windows en blijft op de geïnfecteerde machine aanwezig na een reboot. De malware kan zich prima verbergen in veelgebruikte applicaties zoals Firefox, Chrome, Skype, Outlook, WinMail en Java. Daardoor werken standaard methoden voor het observeren van Windows API-calls niet goed. Volgens Palo Alto verklaart dat waarom de meeste antivirussoftware Jericho niet heeft opgemerkt in zijn eerste dagen. Pas op dag 7 na de ontdekking door Palo Alto merkte 39 procent het botnet op. Echter: 12 van de 42 signatures waren ook na die week in het geheel niet ontdekt.
Roemenië
Alle samples van het botnet zijn afkomstig van een gemeenschappelijke bron in Israël. De onderzoekers hebben zeer sterke vermoedens dat Jericho van Roemeense origine is. De meeste samples hebben namelijk weliswaar unieke URL’s maar de meeste daarvan eindigen op ierihon.com. Het woord ‘ierihon’ is Roemeens voor Jericho, wat de naam van het botnet verklaart.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee