SolarSys
SolarSys is een nieuwe Trojan-bedreiging die wordt ingezet tegen gebruikers in Brazilië. De regio van Zuid-Amerika en vooral Brazilië registreert veel meer aanvalscampagnes waarbij Trojaanse paarden van banken betrokken zijn dan de rest van de wereld, en SolarSys heeft inderdaad de mogelijkheid om Trojaanse paarden te bankieren. Als geheel bestaat SolarSys uit verschillende schadelijke componenten, die elk een andere actie op het gecompromitteerde systeem moeten uitvoeren.
De Trojan wordt geleverd via valse MSI-installatieprogramma's die zich voordoen als Java of Microsoft HTML Help. Eenmaal begonnen. Ze noemen echter InstallUtil, dat wordt gebruikt om het dynamische .Net-bibliotheekbestand ' uninstall.dll ' uit te voeren dat de backdoor-payload van de eerste fase bevat. ' Uninstall.dll ' voert de JavaScript-achterdeur uit in het geheugen, stelt het persistentiemechanisme in door zichzelf te registreren bij AutoRun en voert Install.js uit, een dropper die verantwoordelijk is voor de levering van de payloads van de tweede fase.
De eerste module is ontworpen om de Banking Trojan verder te verspreiden door contactlijsten op te halen van de computer van de gecompromitteerde gebruiker en door phishing-e-mails te verzenden met bijlagen met malware. De titels van de e-mails zijn zo ingesteld dat ze belangrijk of urgent klinken om de aandacht van de doelwitten te trekken. Sommige gebruikers vermoeden misschien niet dat er iets mis is omdat de afzender van de e-mails iemand is die ze kennen. Bij uitvoering beginnen de bijlagen beschadigde payloads te laten vallen via sjablooninjecties.
De tweede beschadigde module, een onderdeel van SolarSys, zal proberen inloggegevens van de Google Chrome-browser te verzamelen. Onder de informatie die door de malware wordt verkregen, zijn de browsegegevens van de gebruiker, de inloggegevens van de website, enz.
De laatste module is degene die verantwoordelijk is voor het opvragen van de bankgegevens van de gebruiker. Het wordt geleverd als een bestand met de naam 'BOM.bin'. De banktrojan begint de websites te scannen die door de gecompromitteerde gebruiker worden bezocht op een match met zijn lijst van gerichte banken. Het genereert vervolgens een overlay met een nep-inlogpagina, waar het slachtoffer wordt aangemoedigd om verschillende inloggegevens in te voeren die vervolgens worden geëxfiltreerd naar de aanvallers. Onder de banken die door SolarSys worden nagebootst, zijn Banco Mercantil, Banco do Nordeste, CrediSIS, Banrisul, Safra, Banco do Brasil, Bradesco, Sicoob, Banco Itaú, Santander, Banco Inter, Banestes, Banpará en andere Braziliaanse bankinstellingen.
