Sphinx: Nový trojský kůň za pět set babek

Ke konci srpna se na prestižním hackerském fóru objevil nový malware kit, což je komerční sofistikovaný generátor malware. Jmenuje se Sphinx a jeho vznik byl inspirovaný známým bankovním trojským koněm Zeus, který způsobil dosud největší škodu ve finančním sektoru. Kód psaný v C++ je založený na zdrojovém kódu Zeuse a autoři jej navrhli pro fungování prostřednictvím anonymizační sítě Tor. Zájemcům o nového trojského koně slibují, že je Sphinx imunní vůči sinkholingu (přesměrování řídícího kanálu), blacklistingu (zakázání komunikace s řídícími servery) a Zeus trackeru (monitoring živých řídících serverů).

V současné době je Sphinx možné zakoupit na černém trhu přes platební systém DASH (anonymní platební systém) nebo pomocí elektronické měny Bitcoin v ceně odpovídající 500 amerických dolarů za nakonfigurovaný binární program. Jakmile prodávající obdrží platbu, kupující obdrží práva k úpravám. Dostupnost takto nebezpečného programu je opravdu alarmující.

Sphinx je tak  nebezpečný hlavně proto, že je zneužitelný pro mnoho účelů. Umí se ukrýt před nástroji, které identifikovaly Zeuse. Ten byl sice vymyšlen jako bankovní zloděj, ale sám jsem ho viděl krást i jiná data než bankovní informace, tudíž i Sphinx bude jistě využíván i pro nebankovní krádeže, například intelektuálního vlastnictví.
Musím zdůraznit jeho nebezpečnou dokonalost, která vychází z individuální konfigurace, to znamená, že neexistují dva stejné binární kódy na světě, tudíž jej nelze dohledat standardními nástroji, které porovnávají otisky škodlivého kódu.

 

Garance pro kupujícího

Prodávající navíc potenciálním uživatelům Sphinxe garantuje, že pokud si jej koupí, nebudou potřebovat neprůstřelný hosting, protože se Sphinxem získá i jeho skvělé implementované vlastnosti:
- Po infekci stanice se rozšíří pod všechny uživatele a nepotřebuje k tomu administrátorský přístup.
- Je zašifrovaný pod účtem konkrétního uživatele, a pokud se přihlásí jiný uživatel, zneaktivní se.  Díky tomu je nezjistitelný antivirem obvykle spouštěným v systémovém módu PC. 


Součástí Sphinxu je i možnost spustit VNC sdílení uživatelské obrazovky, které uživatel PC nezjistí. „Představte si, že vás někdo sleduje, když třeba píšete a potvrzujete příkazy do banky, a tyto informace může okamžitě zneužít.“ Sphinx se také dostane do procesu ověřování certifikátů tak, že se ukryje jako binární kód podepsaný důvěryhodným certifikátem. To je kamenem úrazu antivirů a bezpečnostních softwarů, jejichž standardním nastavením je, kódy podepsané certifikátem přeskočit a nekontrolovat, protože jsou důvěryhodné. 

Uživatel Sphinxe, má také přístup ke statistickým datům, jako např. počet infikovaných počítačů, denní aktivity robotů, statistiky dle zemí atd. Tím pádem získá perfektní přehled o svých nekalých aktivitách. K maximalizaci zisku doporučuje hackerské fórum šířit Sphinxe pomocí Internet Exploreru.