Эксперты Proofpoint рассказали о новой банковской троянской программе Panda Banker, которая разработана на базе исходного кода Zeus. Распространение вредоносного программного обеспечения осуществляется с помощью наборов эксплоитов и фишинговых писем.
10 марта экспертами была зафиксирована спам-кампания, целями которой являлись сотрудники производственных предприятий и средств массовой информации. В фишинговых письмах присутствовал вредоносный файл, который использовал две уязвимости для того, чтобы загружать Panda Banker с удаленного сервера.
19 марта исследователями была обнаружена другая кампания, которая была направлена на банки. Во вредоносных документах содержался макрос, который инициировал загрузку дроппера Godzilla, запускавшего скачивание Panda Banker.
Согласно информации экспертов, распространение троянской программы с марта текущего года также осуществлялось среди австралийских и британских организаций с помощью наборов эксплоитов Angler, Neutrino и Nuclear. После заражения системы вредоносная программа передавала C&C-серверу злоумышленников сведения о взломанном устройстве, включая используемые антивирусные решения и межсетевые экраны.
Проводя анализ Panda Banker, эксперты нашли многочисленные сходства с банковской троянской программой Zeus. Файлы, папки и регистрационные ключи, генерируемые Panda Banker и Zeus, оказались идентичными. Чтобы скрыть настоящие IP-адреса своих серверов, хакеры, создавшие Panda Banker, применяли метод flux DNS, который также использовался в кибератаках с Zeus.