近期发现的一个名为KRBanker(Korea+Banker=KRBanker)的木马,将韩国金融机构的终端用户作为了主要的感染目标。
根据nProtect的报告,目前出现了一个名为KRBanker的入侵型木马,能够关闭杀毒软件,封锁对安全网站的访问,甚至能够禁止被感染主机中其他恶意软件和黑客的通信活动。
一旦被KRBanker木马感染,它会向命令和控制服务器(C&C)发送ping请求,同时还会发送感染主机的情况。然后它会下载一些加密文件到被感染的主机中。
在KRBanker的最新变种中,它能够根据一份列表来扫描与金融机构,杀毒软件有关的DLL文件并打上任意操作码的补丁。
KRBanker还会从目标主机的NPKI目录中收集数字认证信息。这些独一无二的数字认证通常会在与金融有关的场景中使用,比如银行交易,信用卡,保险等等。
黑客会收集数字认证,密码,账户详细信息以及截屏信息从而获得欺诈性的权限来访问受害者的账户。
在分析了KRBanker之后发现,该木马尽管通信结点分部在全球,但主要都集中在韩国境内。与此同时nProtect也迅速升级了他们的杀毒软件来对抗这一新型木马。
