Zeus Trojan-alternativ skapat från grunden träffar den underjordiska marknaden

Ett nytt trojanskt program som kan spionera på offer, stjäla inloggningsuppgifter och störa surfningssessioner säljs på den underjordiska marknaden och kan snart se en bredare distribution.

Det nya hotet kallas Pandemiya och dess funktioner liknar det ökända Zeus Trojan-programmet som många cyberkriminella gäng använde i åratal för att stjäla ekonomisk information från företag och konsumenter.

Zeus källkod läckte ut på underjordiska forum 2011, vilket gjorde det möjligt för andra skadliga utvecklare att skapa trojanprogram baserade på den, inklusive hot som Citadel, Ice IX och Gameover Zeus, vars aktivitet nyligen avbröts av en internationell brottsbekämpning.

"Pandemiyas kodningskvalitet är ganska intressant, och i motsats till de senaste trenderna inom malwareutveckling är den inte baserad på Zeus källkod alls, till skillnad från Citadel / Ice IX, etc.", säger forskare från RSA, säkerhetsavdelningen för EMC, tisdag i ett blogginlägg. "Genom vår forskning fick vi reda på att författaren till Pandemiya tillbringade nästan ett år på att koda applikationen och att den består av mer än 25 000 rader med ursprunglig kod i C."

Det nya Trojan-programmet kan injicera oseriösa koder på webbplatser som öppnas i en lokal webbläsare, en teknik som kallas webbinjektion; ta information som anges i webbformulär; stjäla filer; och ta skärmdumpar. Eftersom den har en modulär arkitektur kan dess funktionalitet också utökas genom enskilda DLL-filer (Dynamic Link Library) som fungerar som plug-ins.

Några av Pandemiyas befintliga plug-ins gör det möjligt för cyberbrottslingar att öppna omvända proxyer på infekterade datorer, stjäla FTP-referenser och infektera körbara filer. Dess skapare arbetar också med andra för att möjliggöra omvända fjärrskrivbordsprotokollanslutningar och för att låta skadlig programvara spridas genom kapade Facebook-konton, sade RSA-forskarna.

"Liksom många av de andra trojanerna som vi har sett av sent, inkluderar Pandemiya skyddsåtgärder för att kryptera kommunikationen med kontrollpanelen och förhindra upptäckt av automatiserade nätverksanalysatorer", säger forskarna.

Det nya hotet marknadsförs på underjordiska forum för 1 500 US $ för kärnansökan och 2 000 $ med ytterligare plug-ins, ett relativt högt inträdespris för cyberbrottslingar. Denna aspekt och det faktum att det är nytt har hindrat Pandemiya från att vinna popularitet hittills, men eftersom det lätt kan utökas med DLL-plugin-program "kan göra det mer genomgripande inom en snar framtid", sade RSA-forskarna.

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.