Prometheus : a Web-based platform for analyzing banking trojans

Nowadays, banking trojans are reaching alarming levels of sophistication. New variants (the most famous examples are ZeuS, SpyEye and Citadel) are constantly being introduced to avoid detection by antivirus software on the victim's PC and to make it difficult for banks and account holders to spot fraud attempts as they occur. Furthermore, these trojans are sold on underground markets as ``toolkits'' that include development kits, web-based administration panels, builders and easy-to-use customization procedures. The main consequence is that anyone, independently on the skill level, can buy a malware builder and create a customized sample. Banking trojans exploit API hooking techniques to be able to intercept all the data going through the browser even when the connection is encrypted. This kind of malware contains also a WebInject module able to modify web pages. This module is used by the attackers to add new fields in forms in order to steal the target information. We propose a web based platform, Prometheus, that analyzes banking trojans exploiting the visible DOM modifications in the HTML page that they cause. Prometheus is able, independently on the trojan's family or version, to detect the injections performed by the malware and, through memory forensic techniques, to extract the targets (the URLs of the web pages monitored and modified by the malware). In conclusion, Prometheus is useful to malware analysts because it significantly reduces the need of manual reverse engineering. We evaluated Prometheus on 53 ZeuS samples and 62 real banking websites showing that our system correctly detects the injections performed by trojans and successfully extracts the WebInject targets.

Attualmente i banking trojan stanno raggiungendo allarmanti livelli di sofisticazione. Nuove varianti (gli esempi più famosi sono ZeuS, SpyEye e Citadel) sono costantemente rilasciate dai cybercriminali allo scopo di evadere gli antivirus e rendere più difficile per vittime e amministratori bancari individuare le frodi che essi portano a termine. Questi trojan, inoltre, sono venduti online, nei cosiddetti underground markets, in "pacchetti" che includono pannelli di amministrazione, builders e procedure di personalizzazione. La conseguenza più pericolosa è rappresentata dal fatto che chiunque, indipendentemente dalle abilità possedute, può acquistare un costruttore di malware e creare la sua versione personalizzata. I banking trojan sfruttano tecniche di "hooking" per agganciarsi alle API usate dal browser e riuscire ad eseguire codice che intercetta tutti i dati che fluiscono attraverso il browser, anche quando la connessione utilizzata è criptata. Questo tipo di malware contiene anche un modulo chiamato WebInject in grado di modificare le pagine web. Questo modulo è usato dai cybercriminali per lo più per inserire nuovi campi all'interno dei forms delle pagine web con lo scopo di rubare ulteriori informazioni. Il nostro lavoro propone un piattaforma web, Prometheus, che analizza i banking trojan sfruttando le modifiche che essi causano ai DOM delle pagine web. Prometheus è in grado, indipendentemente dalla famiglia o dalla versione del trojan, di individuare le modifiche effettuate dai malware sui DOM e, attraverso delle tecniche forensi di ispezione della memoria, di estrarre gli obbiettivi del modulo WebInject ovvero gli URL (e le espressioni regolari che generano gli URL) delle pagine web monitorate e modificate dal malware. Per concludere, Prometheus è utile agli analisti di malware perché esso riduce significativamente il bisogno di reversare manualmente i malware in questione. Abbiamo testato e valutato i risultati prodotti dalle analisi di Prometheus su 53 diversi campioni di ZeuS e 62 reali siti web mostrando che il nostro sistema è in grado di individuare correttamente le modifiche inserite dai banking trojan e di estrarre con successo gli obbiettivi del modulo WebInject.