Kasidet puede pasar por alto el Control de cuentas de usuario (UAC) haciéndose pasar por una aplicación legítima Microsoft.
La firma de seguridad Doctor Web han descubierto elTrojan.Kasidet.1 es capaz de eludir el mecanismo de defensa tales como el de Microsoft UAC haciéndose pasar por una aplicación legítima Microsoft.
Trojan.Kasidet.1 se propaga a través de correo electrónico que tiene un archivo ZIP como un archivo adjunto. El archivo ZIP contiene un archivo .SCR, que es un archivo SFX-RAR auto-extraíble que es capaz de extraer y ejecutar la carga maliciosa.
Un análisis cuidadoso del código reveló que el código se deriva de otro software malicioso para infectar terminales de pago, el malware se Trojan.MWZLesson.
El MWZLesson fue descubierto por los expertos en Dr. Web en septiembre de 2015, los investigadores observaron que la amenaza fue diseñado mezclando código de otro tipo de malware, incluyendo el Dexter y la puerta trasera de neutrinos .
Segun el blog publicada por el Dr. Web: "Este código fue tomado de otro troyano diseñado para terminales de punto de venta y nombrado Trojan.PWS.Dexter. El malware envía todos los datos de las tarjetas bancarias adquiridos y otra información interceptada en el servidor de comando y control."
MWZLesson compromete los terminales de punto de venta, la memoria RAM para buscar datos de la tarjeta de crédito. Una vez infectado el sistema de punto de venta, el malware se comunica con el servidor a través del protocolo HTTP, que roba datos de la tarjeta y lo envía al servidor de comando y control a través de peticiones GET y POST.
El malware Trojan.Kasidet.1 una vez ejecutado realiza una serie de comprobaciones para determinar si el sistema funciona, ninguna solución de seguridad o software que pueda interferir con él. Finaliza en sí en caso de que encuentre máquinas virtuales, emuladores y depuradores, e incluso copias de sí mismo.
Si la amenaza pasa los controles, se ejecuta en sí y los intentos de obtener permisos de administrador en el sistema de destino. Cuando se ejecuta el Trojan.Kasidet.1 desencadena la alerta de Control de cuentas de usuario (UAC), pero las víctimas ver un mensaje de advertencia que les informa de que la aplicación en ejecución de comandos WMI se llama Utilidad (wmic.exe) y es desarrollado por Microsoft.
Segun la firma Doctor Web: "Los primeros cheques de Troya si su copia y cada las máquinas virtuales, emuladores y depuradores están presentes en el sistema infectado. Si Trojan.Kasidet.1 encuentra un programa que de alguna manera puede obstaculizar su funcionamiento, que termina en sí. Si no es así, gana privilegios de administrador y funciona sola. A pesar de que el sistema de control de cuentas de usuario (UAC) demuestra una advertencia en la pantalla, la víctima potencial es arrojado fuera de guardia, porque parece haber sido desarrollado por Microsoft la aplicación en ejecución (wmic.exe) "
Cuando la utilidad wmic.exe se ejecuta Kasidet explora la memoria de datos de la pista de punto de venta de tarjetas bancarias, a continuación, los datos se envían al servidor C & C.
El Trojan.Kasidet.1 también es capaz de robar contraseñas de aplicaciones comunes, incluyendo Outlook, Foxmail, y Thunderbird. También tiene la capacidad de entregar e instalar otras cargas maliciosas en la máquina infectada.
Además, se roba las contraseñas para aplicaciones de correo electrónico Outlook, Foxmail, y Thunderbird y puede ser incorporado en Mozilla Firefox, Google Chrome, Microsoft Internet Explorer y navegadores Maxthon con el fin de interceptar las peticiones GET y POST. Este programa malicioso también puede descargar y ejecutar otra aplicación o una biblioteca maliciosos en el ordenador infectado, encontrar un archivo en particular en un disco, o generar una lista de procesos en ejecución y transmitirla al servidor C & C.
Sin embargo, a diferencia de Trojan.MWZLesson, las direcciones del servidor de C & C de Trojan.Kasidet.1 se colocan en una zona de dominio .bit descentralizada (Namecoin). El troyano implementa su propio algoritmo para obtener las direcciones IP de sus servidores C & C, este es el primer punto de venta de software malicioso que utiliza esta tecnología Namecoin.
Que es la tecnoligia Namecoin
Este es un sistema de servidores raíz DNS alternativo basado en la tecnología de Bitcoin. Navegadores comunes no pueden acceder a esos recursos de la red Sin embargo, Trojan.Kasidet.1 utiliza su propio algoritmo para obtener las direcciones IP de sus servidores C & C. Aunque los programas de malware que utilizan esta tecnología Namecoin se conocen desde 2013, no se detectan con frecuencia en la naturaleza, a diferencia de otros troyanos
