SolarSys

SolarSys er en ny trojansk trussel, der implementeres mod brugere i Brasilien. Regionen Sydamerika og især Brasilien har registreret langt flere angrebskampagner, der involverer bank-trojanske nyttelast end resten af verden, og SolarSys har faktisk bank-trojanske kapaciteter. Som helhed består SolarSys af flere skadelige komponenter, der hver har til opgave at udføre en anden handling på det kompromitterede system.

Trojanen leveres gennem falske MSI-installatører, der foregiver at være Java eller Microsoft HTML-hjælp. En gang startet. De kalder dog InstallUtil, som bruges til at udføre den .Net dynamiske biblioteksfil kaldet ' uninstall.dll ', der bærer den første etape bagdør nyttelast. ' Uninstall.dll ' kører JavaScript-bagdøren i hukommelsen, indstiller vedholdenhedsmekanismen ved at registrere sig selv til AutoRun og udfører Install.js, en dråber, der er ansvarlig for levering af nyttetrins nyttelast.

Det første modul er designet til yderligere at udbrede Banking Trojan ved at hente kontaktlister fra den kompromitterede brugers computer og sende phishing-e-mails med vedhæftede filer med malware. Titlerne på e-mails er indstillet til at lyde vigtige eller presserende for at fange målene. Nogle brugere har muligvis ikke mistanke om, at der sker noget galt, fordi afsenderen af e-mails er en person, de kender. Ved udførelse begynder vedhæftede filer at droppe beskadigede nyttelast gennem skabeloninjektioner.

Det andet beskadigede modul, en del af SolarSys, vil forsøge at indsamle legitimationsoplysninger fra Google Chrome-browseren. Blandt de oplysninger, der opnås med malware, er brugerens browserdata, loginoplysninger til webstedet osv.

Det sidste modul er det, der er ansvarlig for at få fat i brugerens bankoplysninger. Den leveres som en fil med navnet 'BOM.bin.' Bank Trojan begynder at scanne de websteder, der er besøgt af den kompromitterede bruger for at matche sin liste over målrettede banker. Derefter genererer det et overlay, der viser en falsk login-side, hvor offeret opfordres til at indtaste forskellige loginoplysninger, der derefter exfiltreres til angriberne. Blandt de banker, der efterlignes af SolarSys, er Banco Mercantil, Banco do Nordeste, CrediSIS, Banrisul, Safra, Banco do Brasil, Bradesco, Sicoob, Banco Itaú, Santander, Banco Inter, Banestes, Banpará og andre brasilianske bankinstitutioner.