PandaZeuS malware waakzaamheid rond kerst
Spamhaus’s malware onderzoeksunit heeft onlangs een golf van nieuwe PandaZeuS-malwaremonsters waargenomen die tijdens het kerstseizoen worden verspreid. PandaZeuS, ook bekend als Panda Banker, is een e-banking Trojan die is geëvolueerd uit de beruchte ZeuS-trojan en door verschillende bedreigingsactoren wordt gebruikt om e-bankinggegevens te compromitteren. Dit vormt een significant risico voor internetgebruikers, aangezien cybercriminelen deze gegevens gebruiken voor e-bankingfraude.
Nieuwe versie 2.6.1 van PandaZeuS
Bij twee recente PandaZeuS-campagnes, die vóór kerst zijn verspreid, blijkt dat de nieuwste versie van PandaZeuS enkele kleine wijzigingen bevat. Een belangrijke wijziging betreft het versleutelingsschema van de basisconfiguratie. Hoewel PandaZeuS nog steeds gebruikmaakt van het RC4-binaire versleutelingsschema, bevat het enkele kleine aanpassingen. De versie van PandaZeuS is bijgewerkt naar 2.6.1.
De vorige versie maakte gebruik van AES-256-CBC en RC4-versleuteling. Deze laatste versie behoudt deze encryptie, maar heeft aanpassingen aangebracht in de RC4-methode.
Technische wijzigingen in de code
De wijzigingen in de code zijn gedocumenteerd en omvatten:
- Initialisatie van de Key Stream Array
- Wijzigingen in de State Array 4 * 30 keer, zonder de keystream-waarde
- Hergebruik van eerdere indexen om de State Array te wijzigen en de keystreamwaarden te XOR’en met de versleutelde bytes
De speculatie over deze kleine wijziging in het versleutelingsschema suggereert dat het doel is om malware-extractors te verstoren die door onderzoekers worden gebruikt om botnetcontrollers uit PandaZeuS-monsters te halen. Analyse van de sinkhole-gegevens van een van deze campagnes toont aan dat het botnet voornamelijk gericht is op Engelstalige internetgebruikers, en de gekoppelde domeinnamen van het botnet worden slecht gedetecteerd.