Veiligheidsonderzoekers van IBM X-Force hebben een nieuwe vorm van bank-malware ontdekt. Die maakt gebruik van een remote Microsoft SQL Server om te communiceren met geïnfecteerde apparaten. De trojan heeft de naam MnuBot gekregen en werkt bepaald niet zoals regulieren malware.

Gewoonlijk communiceert malware via een command-and-control server die werkt via diensten als IRC of via directere verbindingen. De MnuBot maakt echter gebruik van een Microsoft SQL Server, wat bepaald niet gebruikelijk is voor malware.

Twee stadia

De trojan werkt volgens de onderzoekers in een tweetal stadia. Het eerste stadium is een proces, waarbij de trojan controleert of zich een bestand met de naam Desk.txt bevindt in de AppData roamingmap. Als dat bestand niet gevonden wordt, maakt MnuBot het bestand aan, waarmee er een nieuwe desktop op de geïnfecteerde machine aangemaakt wordt en de gebruiker daarnaar overgezet. Als het bestand wel gevonden wordt, dan doet MnuBot niets en is het apparaat veilig.

Binnen de nieuwe desktop, controleert MnuBot geopende vensters waarin de gebruiker actief is. Daarbij wordt gezocht naar namen die gelijk zijn aan die van de banken waar de trojan zich op richt. Indien zo’n naam gevonden wordt, haalt de malware een ander programma binnen dat de hacker volledige controle over het systeem van het slachtoffer geeft en het mogelijk maakt om bankgegevens te stelen.

Zodra dit het geval is, kan de malware overigens een boel zaken doen. Zo is het mogelijk voor de hacker om screenshots van de browser te maken, een keylogger in te schakelen, muiskliks en toetsaanslagen te simuleren en om het apparaat van de gebruiker opnieuw te starten. Het is dus een behoorlijk geavanceerde trojan, die wel alleen nog in Brazilië actief is geweest.