Bolek είναι το όνομα του νέου τραπεζικού trojan που γεννήθηκε από τον πηγαίο κώδικα που έχει διαρρεύσει από τα Carberp και Zeus banking trojans. Οι προγραμματιστές των malware έμπλεξαν τον κώδικά τους για να δημιουργήσουν μια ολοκαίνουργια νέα απειλή που αυτή τη στιγμή κυνηγά τους πελάτες των ρωσικών τραπεζών.
Οι ερευνητές της CERT Poland εντόπισαν το trojan πρώτα, στα μέσα Μαΐου, όταν διερευνούσαν μια phishing καμπάνια που προερχόταν από τη χώρα τους, παρατηρώντας μια ελαφρά ομοιότητα μεταξύ των Bolek και του KBot module του Carberp.
Δύο ημέρες αργότερα, η αμερικανική εταιρεία ασφαλείας PhishMe επέκτεινε τα CERT-PL ευρήματα με μια ολοκληρωμένη έκθεση σχετικά με τον τρόπο λειτουργίας του Bolek, παρατηρώντας και πάλι ορατές ομοιότητες μεταξύ των Bolek και Carberp.
Περισσότερες αναφορές ακολούθησαν, πρώτα από τη ρωσική κατασκευάστρια εταιρεία antivirus, Dr.Web, και στη συνέχεια από την Arbor Networks, και οι δύο κατά την έναρξη του Ιουνίου. Ενώ η Arbor έκθεση επικεντρώθηκε στις C&C server επικοινωνίες του Bolek, η έκθεση του Dr.Web περιελάμβανε μια ανάλυση του τρόπου λειτουργίας του trojan, μαζί με τις ομοιότητες μεταξύ των Bolek, Carberp και ακόμη και με το αρχαίο Zeus τραπεζικό trojan.
Η Dr.Web λέει ότι το trojan είναι πλήρως εξοπλισμένο γύρω από το σημερινό τραπεζικό οικοσύστημα. Το Bolek είναι σε θέση να κλέψει τα login διαπιστευτήρια από online τραπεζικές εφαρμογές κάνοντας inject τον εαυτό του στη διαδικασία ενός Web προγράμματος περιήγησης, μπορεί να πάρει screenshots της οθόνης του χρήστη, μπορεί να υποκλέψει την κυκλοφορία στο Web, μπορεί να εμπλακεί με τις πληκτρολογήσεις ή να δημιουργήσει έναν τοπικό proxy για να μεταφέρει τα αρχεία του μολυσμένου μηχανήματος.
Το Bolek μπορεί να στοχεύσει τους Microsoft Internet Explorer, Google Chrome, Opera και τα προγράμματα περιήγησης Mozilla Firefox και έρχεται με μια ενσωματωμένη έκδοση του Mimikatz, μια γνωστή εφαρμογή dumping κωδικών πρόσβασης.
Το μέρος που το Bolek δανείστηκε από το Carberp περιλαμβάνει ένα προσαρμοσμένο εικονικό σύστημα αρχείων, το οποίο χρησιμοποιεί το trojan για να αποθηκεύσει διάφορα αρχεία που απαιτούνται για τη λειτουργία του, προκειμένου να τα κρύψει από το λογισμικό ασφαλείας.
Από το Zeus, το Bolek δανείστηκε, τον ισχυρό μηχανισμό Web injection του που του επιτρέπει να αξιοποιήσει τις διαδικασίες του προγράμματος περιήγησης και να αναλάβει το σύνολο της ιστοσελίδας όταν ο χρήστης επισκέπτεται ένα online banking portal.
Επιπλέον, το trojan μπορεί να μολύνει και τα 32-bit και 64-bit Windows μηχανήματα, και όταν ξεκινήσει, μπορεί να ξεκινήσει μια αντίστροφη σύνδεση με τον εισβολέα μέσω του RDP (Remote Desktop Protocol).
Παρ’ όλα αυτά τα θανατηφόρα χαρακτηριστικά, αυτό δεν ήταν το πιο ενδιαφέρον χαρακτηριστικό, τονίζεται από τους ερευνητές της Dr.Web. Μετά τη μόλυνση ενός στόχου, οι διαχειριστές του Bolek μπορεί να στείλουν μια εντολή στο trojan και να ενεργοποιήσουν έναν αυτό-εξαπλούμενο μηχανισμό που μοιάζει με worm.
Αυτό το χαρακτηριστικό επιτρέπει στο Trojan να εξαπλωθεί και σε άλλα αρχεία για τα ίδιο σύστημα αρχείων ή σε USB drives. Το Bolek έχει την ικανότητα να μολύνει τα εκτελέσιμα Windows 32-bit ή 64-bit, τα οποία αν μετακινηθούν σε άλλους υπολογιστές, μπορεί να βοηθήσουν το trojan να εξαπλωθεί και σε άλλους στόχους.
«Ο κύριος σκοπός του Trojan.Bolik.1 είναι να κλέψει εμπιστευτικές πληροφορίες», εξηγούν οι ερευνητές της Dr.Web. «[Οι] λειτουργίες και η αρχιτεκτονική του Trojan.Bolik.1 είναι πολύ εξελιγμένα, τα οποία το καθιστούν πολύ επικίνδυνο για τους χρήστες των Windows.»
