0

Der backdoor-Trojaner ist benannt nach dem Bateleur Eagle.
Bild: iStock
Die berüchtigte Hacker-Gruppe ist zurück mit einer neuen Methode der Verteilung von Trojaner-malware mit dem Ziel der Schaffung von Hintertüren in die Netze von restaurant-Ketten in den USA.
Genannt Gaukler – nach einer Brut des Adlers – von den Forschern bei Proofpoint, aufgedeckt, diese backdoor wird gedacht, die Arbeit der Carbanak-Gruppe, einer Gruppe, die die konzentriert Ihre Angriffe auf die finanziellen Ziele.
Die Gruppe gestohlen hat, über 1 Milliarde Dollar von Banken weltweit, und es ist dachte, die Gruppe steht hinter einer Reihe weiterer Angriffe.
Carbanak hat bisher gezielte Gastfreundschaft Organisationen, darunter Einzelhändler, Großhändler Dienstleistungen und Lieferanten, aber dieses mal ist es der Versuch zu infiltrieren Kette restaurants, um zu erstellen eine Hintertür in Windows-Systemen mit dem Ziel der Einnahme von screenshots, das stehlen von Kennwörtern, zum ausführen von Befehlen und mehr.
Um zu erhöhen die Chancen einer Infektion und ohne Verbleibende erkannt, dass die Javascript-backdoor ist begleitet durch neue Makros und anti-Analyse-und sandbox-evasion-Techniken, um Mantel-Aktivität.
Wie bei vielen Cyber-Attacken, phishing-E-Mail wird verwendet, um den Köder in das Ziel. Die Nachricht von einer Outlook-Adresse oder einen Google Mail und Forderungen zu enthalten, die Informationen über ein zuvor diskutiert check in einem angehängten Word-Dokument.
Eine phishing-E-Mail dient zur Verteilung der malware auf die Ziele an.
Bild: Proofpoint
Die Anlage behauptet, das Dokument ist verschlüsselt und geschützt durch die Outlook-Protect Service “oder” Google-Dokumente Schützen-Dienst ” abhängig von der Adresse, die die Nachricht sendet. In beiden Fällen, die Namen der authentische antivirus-Unternehmen erscheinen auf der JScript-Dokument dropper, um zu locken die Opfer in ein Falsches Gefühl der Sicherheit.
Wenn der Benutzer getäuscht wird und aktivieren der Bearbeitung des Dokuments, das Dokument greift auf die bösartige payload mit einer Reihe von geplanten Aufgaben, die in einem Versuch eine Erkennung zu vermeiden.
Die Forscher beschreiben die Jscript als “robuste Fähigkeiten”, einschließlich anti-sandbox-Funktionalität und anti-Analyse Verschleierung. Es ist auch in der Lage abrufen von infizierten system-Informationen, Liste der Laufenden Prozesse, Ausführung der benutzerdefinierten Befehle und PowerShell-Skripts, deinstallieren und aktualisieren sich selbst und nehmen screenshots.
In der Theorie, Gaukler können auch exfiltrate Passwörter, obwohl diese Besondere Anweisung erfordert ein zusätzliches Modul aus der command-and-control-server, um zu funktionieren. Derzeit ist die malware-es fehlen einige der features erforderlich, um dies zu tun, noch hat es backup-Server, aber die Forscher erwarten, dass diese Hinzugefügt werden, die in Naher Zukunft – vor allem angesichts der hartnäckigen Art der Angreifer.
Proofpoint identifiziert haben Carbanak als die Urheber dieser Kampagne und der neuen backdoor mit “einem hohen Maß an Sicherheit” durch einige verräterische Anzeichen.
Erstens, ähnliche Nachrichten, die geschickt wurden, um die gleichen Ziele, aber Versuch, um Nachrichten mit GGLDR, ein schädliches Skript im Zusammenhang mit Carbanak – VBScript-malware.
Zweitens, eine Meterpreter in-memory-DLL-injection-downloader Skript namens TinyMet gesichtet wurde heruntergeladen von Bateleur, ein Prozess, der immer wieder beobachtet wird, werden von der Gruppe.
Forscher beachten Sie auch, dass die Powershell Passwort-grabber genutzt von Bateleur enthält eine identische Dynamic-link-Bibliothek, wie man gefunden hat, eingebettet in GGLDR Proben.
“Der Gaukler JScript backdoor und mit dem neuen makro-laden-Dokumente angezeigt werden, die Letzte in der Gruppe erweitert das toolset, das neue Infektion, zusätzliche Wege, sich zu verstecken, Ihre Aktivität und die wachsenden Fähigkeiten für Diebstahl von Informationen und ausführen von Befehlen, die direkt auf Opfer-Maschinen”, Proofpoint Forscher Matthew Mesa und Darien Huss, sagte in einem blog-post.
LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT
Die russische Sicherheitsfirma bestreitet links zu Carbanak TrojanChipotle die neuesten bug schadet Ihrer Brieftasche, nicht Ihr Magen [CNET]Wendy gibt ‘s Kreditkarte hack ist viel schlimmer als der erste thoughtCybercrime Inc: Wie Hacker-Banden modellieren, um sich auf das big business’Invisible’ versteckte malware auf vertrauenswürdigen software zu infiltrieren, Unternehmen weltweit [TechRepublic]
0