Novi trojanac Remvio može da se koristi za krađu podataka i passworda

Ima mnoštvo funkcija i može da se prilagođava za različite maliciozne operacije

10 Aug 2016

Novi trojanac Remvio može da se koristi za krađu podataka i passworda

Symantec je nedavno otkrio novi trojanac na crnom tržištu - Backdoor.Remvio. Remvio predstavlja ozbiljnu opasnost jer može da lako da se prilagodi/kastomizuje i koristi za različite maliciozne operacije. Na crnom tržištu prodaje se po ceni od $58 do $389 u zavisnosti od vrste licence, uz EULA da je autor oslobođen odgovornosti ukoliko ga treća strana koristi za maliciozne aktivnosti.

Šta sve može Remvio?

Kada ga napadači kupe, postoji više načina za distribuciju. Može da se koristi "Watering hole" napad, dobro osmišljena imejl poruka sa malicioznim linkom ili da se ide na malicioznu spam kampanju. Malver se može dalje širiti pomoću alata za iskorišćavanje ranjivosti sistema ili preko droppera. Napravljen je u C++ i ima mnoštvo funkcija, uprkos maloj veličini. Kontrolni panel ima funkcije poput automatskog obavljanja zadataka koja omogućava izvlačenje informacija kada je žrtva online bez potrebe angažovanja napadača.

Remvio trojanac Remvio automatski obavlja zadatke

Remvio deluje i kao RAT (trojanac sa udaljene lokacije) i vrši sledeće operacije:

Beleži unose sa tastature
Pravi snimke ekrana
Snima audio i video sa web kamere
Snima audio sa mikrofona

Remvio trojanac Remvio obavlja standardne RAT opetacije

Remvio može da krade passworde iz različitih aplikacija, između ostalih i iz Internet Explorer, Chrome, Firefox, Opera, Pidgin, Windows MSN/Live Messenger.

Remvio trojanac Funkcija otkrivanja passworda

Iako u kontrolnom panelu piše da može da ukrade i kredencijale iz Safarija (Mac OS), Symantec nije našao dokaze za to.

Backdoor.Remvio se može podesiti da izbegne većinu bezbednosnih mehanizama. Uz njega idu i opcije anti-analize. Automatski se zatvara i briše ukoliko primeti da je pokrenut na virtuelnoj mašini ili debuggeru. Remvio difoltno koristi port 2404 za mrežnu komunikaciju, ali se to može promeniti. Postoje još neke opcije koje korisnik (napadač u ovom slučaju) može podesiti prema sopstvenom nahođenju poput toga gde se malver ubacuje u sistem, kako se pokreće na kompromitovanom uređaju itd. Kada napadač konfiguriše sve opcije, maliciozni fajl se može kompresovati pre nego što se "isporuči" žrtvi.