Elsősorban Japánban pusztít – ott regisztrálták a támadások több mint 80 százalékát –, de már Európába, többek között Ausztriában és Németországban is felbukkant a Shifu. A japán név ellenére a kutatók orosz hackereket gyanítanak a szupertrójai mögött, amely egy sor bevált technikát ötvöz – írta a Biztonságportál. Az egybegyúrt technikák félelmetes fegyverré teszik a károkozót, melyet az IBM biztonsági szakértői elemeztek.

A legjobbaktól kölcsönzött

A komplexitása soskoldalúvá is teszi az IBM  Shifut. Valószínűleg a Shiz trójaiból örökölte azt a DGA (Domain Generation Algorithm) algoritmust, amelynek segítségével ea vezérlőszervereit eléri. A konfigurációs fájlja nagyon hasonlít a Dridexéhez, ahhoz a trójaiéhoz, melyet a Cisco év közi biztonsági jelentése a legnagyobb fenyegetések közé sorolt.

A helyi számítógépeken létrejövő visszaállítási pontokat úgy kitörli, mint az ősrégi Conficker féreg, amely az ESET statisztikái szerint már 2009-ben és 2010-ben is a leggyakoribb károkozó volt Magyarországon. A víruselemzést nehezítő eljárásai pedig leginkább a Zeus VM trójaival rokonítják, ami a Kaspersky Lab szerint tavaly még a legelterjedtebb pénzügyi malware volt.

Sokoldalú károkozó

A Shifu valóban sokoldalú. Folyamatosan tudja naplózni a billentyűleütéseket, így akár hozzáférési adatokat is meg tud szerezni. Figyeli a webböngészők tevékenységét, és képes a weboldalak manipulálására web injection technikákkal. Le tudja menteni a képernyőképeket, begyűjti a tanúsítványokat, és távoli hozzáférést biztosít a fertőzött rendszerekhez. Egyébként még a kommunikációra használt megoldása sem saját: ahhoz ugyanis olyan, maga által aláírt tanúsítványt használ, mint a Dyre trójai.

Képes az alkalmazások monitorozására, újabb kártékony modulok letöltésére, kapcsolódhat botnethez. És természetesen a begyűjtött adatokat ki is tudja juttatni a fertőzött rendszerből.

Az IBM kutatói külön kiemelték a károkózónak azt a képességét, hogy nem kizárólag a végfelhasználók számítógépeit támadja, hanem például a POS terminálokat is. Vagyis a bank- és hitelkártyák elfogadására alkalmas berendezésekről is megpróbál értékes adatokhoz jutni, amit elsősorban a memória folyamatos monitorozásával hajt végre egy RAM-scraping bővítmény segítségével.

A weboldalak manipulálásában a legjobb

A Shifu a weboldalak manipulálásában minden eddig ismertnél fejlettebb eljárásokat használ. A legnagyobb újdonsága, hogy valós időben és dinamikusan képes megváltoztatni a támadók által kijelölt weblapokat a fertőzött rendszereken. Ebben az is segíti a támadót, hogy a Shifu esetenként egy Apache webszervert is telepít a fertőzött rendszerekre.

A manipulációhoz is többféle módszert használ, és . Vagy lecseréli a teljes weblapot egy hamisított példányra, vagy a web injection módszert használja. Ez utóbbi esetben csak néhány tartalmi elemet helyez el az adott weboldalban, például beilleszthet olyan űrlapot, amelyen arra kéri a felhasználót, hogy adja meg az egyszer használatos kódját a belépéshez. Mivel még arra is ügyel, hogy a beillesztett részek illeszkedjenek a bank arculati elemeihez, a felhasználó nehezen veszi észre a hamisítást. És ha a felhasználó megadja az adatait, azok egyből a támadónál landolnak.

Betyárbecsület? Olyan nincs

Nagyon érdekes jelenség, hogy a Shifu még a konkurens trójaikat is megpróbálja kiiktatni. Egyik moduljának az a feladata, hogy ellenőrizze a számítógépre felmásolt állományokat, és ha azokban fertőzésgyanús elemeket talál, azonnal közbelép.

Azt egyelőre nem sikerült kideríteni, hogy milyen csoport készítette a szupertrójait. Az IBM kutató azonban orosz szálakat sejtenek. Erre abból következtettek, hogy a károkozó visszafejtett forráskódjában több orosz nyelvű kódrészletet és kommentet is találtak.