Вредонос распространяется с помощью фишинговых писем и наборов эксплоитов.
Исследователи из Proofpoint сообщили о новом банковском трояне Panda Banker, разработанном на основе исходного кода печально известного Zeus. Вредоносное ПО распространяется как через фишинговые письма, так и с помощью наборов эксплоитов.
10 марта нынешнего года эксперты зафиксировали спам-кампанию, нацеленную на сотрудников СМИ и производственных предприятий. Фишинговые письме содержали вредоносный документ, эксплуатирующий уязвимости CVE-2014-1761 и CVE-2012-0158 для загрузки Panda Banker с удаленного сервера.
19 марта исследователи обнаружили другую кампанию, на этот раз ориентированную на финансовые организации. Вредоносные документы содержали макрос, загружавший дроппер Godzilla, который в свою очередь загружал Panda Banker.
По данным экспертов, с марта нынешнего года троян также распространялся тремя популярными наборами эксплоитов - Angler, Nuclear и Neutrino, нацеленными на организации в Австралии и Великобритании. Инфицировав систему, вредонос обращался к подконтрольному злоумышленникам C&C-серверу и передавал данные о скомпрометированном устройстве, в том числе об используемых антивирусных решениях и межсетевых экранах.
В ходе анализа Panda Banker исследователи обнаружили множество общих черт с банковским трояном Zeus. Создаваемые вредоносом мьютексы, файлы, папки и ключи реестра оказались такими же, как у Zeus. Для сокрытия настоящих IP-адресов своих серверов стоящие за Panda Banker злоумышленники использовали метод flux DNS, также применявшийся в атаках с участием Zeus.
Никаких овечек — только отборные научные факты