Banjori - это банковский троян, который был активен с момента его первого обнаружения в 2013 году. В качестве основных целей он называет пользователей персональных онлайн-банков во Франции, Германии и США.
Banjori Banking Trojan
После заражения пользователя троян внедряет вредоносную полезную нагрузку в активные процессы пользователя и собирает его информацию. Банковские трояны и Banjori в основном используются для кражи информации через браузеры. По сравнению с Internet Explorer и Chrome, Firefox является более востребованной целью для Banjori. После установки Banjori внедряет крючки во все процессы, связанные с браузером. Затем он будет отслеживать их, чтобы определить, посещает ли пользователь банковский сайт, и в этот момент попытается подделать или иным образом получить его данные. Второй модуль проверяет язык системы и ищет конфиденциальные файлы в папке Users. Любая извлеченная информация затем отправляется обратно на командно-контрольный сервер. Стоит отметить, что это семейство начало использовать современный на тот момент алгоритм динамической генерации доменов (DGA) для получения адресов C&C-серверов в 2013 году. Это делает неэффективным традиционный черный список антивирусного ПО, а также создает условия для уничтожения и захвата ботнетов Banjori.
Indicators of Compromise
IPv4
- 13.59.74.74
- 14.192.4.75
- 18.213.250.117
- 18.215.128.143
- 23.107.124.53
- 23.110.15.74
- 23.226.53.226
- 23.227.38.65
- 23.231.218.195
- 23.236.62.147
- 23.89.102.123
- 23.89.20.107
- 3.216.121.17
- 34.102.136.180
- 34.98.99.30
- 35.186.238.101
- 35.226.69.129
- 43.230.142.125
- 43.241.196.105
- 43.249.76.176
- 47.245.10.59
- 47.91.170.222
- 5.79.79.212
- 50.117.86.130
- 52.25.92.0
- 52.4.209.250
- 52.58.78.16