Een nieuwe variant van de BlackEnergy Trojan is in staat om geïnfecteerde computers te vernietigen, zo hebben onderzoekers ontdekt. De eerste versie van BlackEnergy werd ingezet voor het uitvoeren van DDoS-aanvallen op Georgië in 2008. Naast alle versies die via een doe-het-zelf toolkit zijn te maken, is versie 1.9.2 de laatste officiële variant.
Onderzoekers van SecureWorks ontdekten dat BlackEnergy 2 al meer dan een jaar in ontwikkeling is. In tegenstelling tot z'n voorganger, gebruikt deze versie moderne rootkit/proces-injectie technieken, sterke encryptie en modulaire architectuur. In het geval de gebruiker geen administrator rechten heeft, gebruikt de malware een exploit voor een kwetsbaarheid uit 2008, waarmee het de rechten kan verhogen. Zodoende is het toch mogelijk om de rootkit te installeren.
Kill commando
BlackEnergy ondersteunt nu ook plugins, waardoor allerlei code aan de Trojan is toe te voegen. Vooralsnog gaat het om plugins voor het versturen van spam en het stelen van inloggegevens voor internetbankieren. De "banking Trojan plugin" lijkt veel op de Zeus Trojan en is ontworpen om het bestandssysteem van besmette computers te vernietigen. Daarvoor kan de beheerder een speciaal "kill" commando geven. De Trojan overschrijft dan de eerste 4.096 clusters met willekeurige data en probeert vervolgens de "ntldr" en "boot.ini" bestanden te verwijderen.
"Deze functionaliteit wordt waarschijnlijk gebruikt nadat de inloggegevens voor internetbankieren zijn gestolen, om zo te voorkomen dat het slachtoffer ziet dat er geld van zijn rekening is gehaald en hij de bank inlicht." Voor zover bekend heeft de Trojan het alleen op Russische en Oekraïense banken voorzien. En dat is opmerkelijk, want voorheen beschouwden Russische hackers hun landgenoten niet als doelwit.
Plugins
Volgens onderzoeker Joe Stewart is BlackEnergy 2 is een behoorlijke stap voorwaarts ten opzichte van zijn voorganger. "Met de bestaande plugins levert het de drie hoekstenen van moderne cybercrime." Het Trojaanse paard is nog niet als doe-het-zelf toolkit verkrijgbaar, maar mocht dat veranderen, dan zal die waarschijnlijk populairder dan de eerste versie worden. "Hoe het ook zij, er is veel meer ruimte voor het innoveren van de stealth en functionaliteit in toekomstige BlackEnergy 2 versies." Voor de crypto-liefhebbers publiceerde FireEye deze analyse van de eerste variant.
Deze posting is gelocked. Reageren is niet meer mogelijk.