Thanatos είναι το όνομα ενός νέου Trojan που ανακαλύφθηκε στην underground hacking αγορά που αγωνίζεται να πουλήσει τον εαυτό του ως μια εναλλακτική ZeuS (τραπεζικό trojan) λύση, αλλά διαφημίζει και της “malware killing” δυνατότητές του.
Ανακαλύφθηκε στις 6 Μαρτίου από την εταιρεία ασφαλείας Proofpoint, το Thanatos (προσωποποίηση του Θανάτου από την ελληνική μυθολογία), επίσης γνωστό και ως Alphabot, ένα Trojan που, όταν διανέμεται στους επιθυμητούς στόχους, μπορεί να βοηθήσει τους δημιουργούς του να φτιάξουν μιας παγκόσμιας σύνδεσης botnet, μέσω του οποίου όλα τα είδη των malware modules μπορούν να διανεμηθούν προς τα θύματά του.
Οι δημιουργοί του Thanatos λένε ότι η υπηρεσία τους είναι παρόμοια με το ZeuS, αλλά καλύτερη. Ο ZeuS είναι ένα πλέον ξεχασμένο botnet που ήταν ενεργό το 2014 και να παρέδιδε ως επί το πλείστον ένα τραπεζικό trojan με το ίδιο όνομα και μερικές οικογένειες ransomware σε κάποιες πιο σπάνιες περιπτώσεις.
Σύμφωνα με μια διαφήμιση σε ένα underground hacking φόρουμ, το Thanatos λειτουργεί σε όλες τις εκδόσεις των Windows, XP και μετά, δεν χρειάζεται δικαιώματα διαχειριστή, μπορεί να αποφύγει την ανίχνευση ιών, είναι 32- bit και 64-bit φιλικό και είναι γραμμένο σε C ++, Masm και Delphi, όπως και ο ZeuS (του οποίου, συμπτωματικά, ο πηγαίος κώδικας είχε διαρρεύσει).
Η κύρια λειτουργία του trojan είναι το FormGrabber module, που μπορεί να εγχύσει (inject) δεδομένα στο εσωτερικό των διαδικασιών γνωστών Web browsers, όπως οι Internet Explorer (7-11), Firefox (όλες οι εκδόσεις), Google Chrome (30+, εκτός από την έκδοση 47) και ακόμη και στον νεότερο Edge.
Το Thanatos δεν συνεργάζεται ακόμα με Opera και Safari, αλλά οι δημιουργοί του κακόβουλου λογισμικού λένε ότι εργάζονται το παρόν διάστημα για την επέκταση υποστήριξης και σε αυτά τα προγράμματα περιήγησης.
Μια ενότητα downloader περιλαμβάνεται, επίσης, για την ανάκτηση και την εγκατάσταση άλλου λογισμικού, μαζί με το λεγόμενο AV-Module που λειτουργεί ως ένα antivirus, σαρώνοντας τον μολυσμένο στόχο και για άλλα γνωστά κακόβουλα προγράμματα και διαγράφοντάς τα από τα μολυσμένα συστήματα.
Αυτό το είδος συμπεριφοράς είχε ξανα-υπάρξει το περασμένο φθινόπωρο με το Shifu banking trojan και επιτρέπει στον εισβολέα να μεγιστοποιήσει τα κέρδη του με το να μην μοιράζεται μολυσμένους ξενιστές με άλλους απατεώνες, ενώ παράλληλα δεν διακινδυνεύει να εκτεθεί εξαιτίας ενός άλλου κακώς κωδικοποιημένου malware που βρέθηκε στο ίδιο σύστημα.
Για να είναι σίγουρο ότι το κακόβουλο λογισμικό είναι πραγματικά ένα malware και όχι ένα false positive, το Thanatos θα πάρει ακόμη και ένα αντίγραφο του ύποπτου αρχείου και θα το ανεβάσει στο VirusTotal για επιβεβαίωση, γεγονός που συμβαίνει για πρώτη φορά από ένα trojan να λάβει τέτοια μέτρα.
Όλα αυτά είναι διαθέσιμα ως ένα malware-as-a-service προσφορά για $1.700 (€1.500) ανά μήνα ή για $12.000 (€10.500) για μια ζωή. Παρακάτω μπορείτε να δείτε τις φωτογραφίες του Thanatos botnet πίνακα ελέγχου, ευγενική προσφορά του Proofpoint.
[su_carousel source=”media: 103324,103325,103326,103327,103328,103329,103330,103331″ limit=”8″ target=”blank” width=”100″ height=”20″ items=”1″ title=”no” arrows=”no”]
