0
De backdoor Trojan is vernoemd naar de Bateleur Eagle.
Beeld: iStock
Een beruchte hacken van de groep is terug met een nieuwe methode voor de distributie van trojan malware met de doelstelling van het creëren van backdoors in de netwerken van restaurant ketens in de VS.
Nagesynchroniseerde Bateleur – na een ras van eagle – door de onderzoekers van Proofpoint, die ontdekt, deze backdoor wordt gedacht aan het werk van Carbanak, een groep die zich richt haar aanvallen op de financiële doelstellingen.
De groep heeft gestolen van meer dan $1 miljard van banken over de hele wereld en het is dacht dat de groep zich achter een reeks van andere aanvallen.
Carbanak is eerder gericht gastvrijheid organisaties, met inbegrip van detailhandelaren, merchant services en leveranciers, maar dit keer is het een poging om te infiltreren keten restaurants om een backdoor in Windows-systemen met het doel van het nemen van screenshots, het stelen van wachtwoorden, het uitvoeren van opdrachten en nog veel meer.
Ter verhoging van de kans op infectie zonder resterende gedetecteerd, wordt de Javascript-backdoor wordt vergezeld door nieuwe macro ‘ s en anti-analyse en de sandbox-ontduiking technieken om te camoufleren activiteit.
Zoals met vele cyberaanvallen, een phishing e-mail wordt gebruikt voor het lokken in het doel. Het bericht is verzonden vanaf een Outlook-adres of een Gmail en vorderingen bevatten informatie over een eerder besproken controleren als bijlage in een Word-document.
Een phishing e-mail gebruikt voor het distribueren van malware naar de doelstellingen.
Afbeelding: Proofpoint
De bijlage vorderingen van het document is gecodeerd en beschermd door de ‘Outlook Beschermen Service’ of ‘Google-Documenten te Beschermen Service’ – afhankelijk van het adres het bericht te verzenden. In beide gevallen namen van authentieke antivirus bedrijven lijkt op de JScript-document druppelaar om te lokken van het slachtoffer in een vals gevoel van veiligheid.
Als de gebruiker wordt misleid in het inschakelen van het bewerken van het document, het document geeft toegang tot de kwaadaardige lading met een reeks van geplande taken in een poging om detectie te voorkomen.
De onderzoekers beschrijven de Jscript-als het hebben van een “robuuste mogelijkheden” zoals anti-sandbox-functionaliteit en anti-analyse verduisteren. Het is ook geschikt voor het herstellen van geïnfecteerde systeem informatie, een lijst van lopende processen, het uitvoeren van eigen opdrachten en PowerShell-Scripts, verwijderen en bijwerken van zichzelf en het nemen van screenshots.
In theorie, Bateleur kan ook exfiltrate wachtwoorden, hoewel deze specifieke instructie vereist een extra module van de command and control server om te werken. Momenteel is de malware mist een aantal van de functies die nodig zijn om dit te doen, en het heeft ook geen back-up servers, maar de onderzoekers verwachten dat deze worden toegevoegd in de nabije toekomst – vooral vanwege de permanente aard van de aanvallers.
Proofpoint hebben geïdentificeerd Carbanak als de daders van deze campagne en de nieuwe achterdeur met “een hoge mate van zekerheid” als gevolg van een aantal waarschuwingssignalen.
Ten eerste, soortgelijke berichten zijn verzonden aan dezelfde doelen, maar een poging om berichten te leveren met GGLDR, een kwaadaardig script wordt geassocieerd met Carbanak de VBScript-malware.
Ten tweede, een Meterpreter in-het-geheugen-DLL-injectie downloader script met de naam TinyMet is gespot worden gedownload door Bateleur, een proces dat herhaaldelijk waargenomen wordt gebruikt door de groep.
De onderzoekers ook rekening mee dat de Powershell wachtwoord grabber dat wordt gebruikt door Bateleur bevat een identieke Dynamic-link bibliotheek als een ingebed GGLDR monsters.
“De Bateleur JScript achterdeur en nieuwe macro-beladen documenten lijken de laatste in de groep uitbreiden toolset, voor het leveren van nieuwe middelen van infectie, andere manieren van verbergen van hun activiteiten en de groeiende mogelijkheden voor het stelen van informatie en het uitvoeren van commando’ s direct op het slachtoffer machines, Proofpoint onderzoekers Matthew Mesa en Darien Huss zei in een blog post.
LEES MEER OVER CYBERCRIMINALITEIT
Russische beveiligingsbedrijf ontkent links naar Carbanak TrojanChipotle de laatste bug doet pijn in uw portemonnee, niet uw maag [CNET]Wendy ‘s toe credit card hack is veel erger dan de eerste thoughtCybercrime Inc: Hoe hacking bendes zijn het modelleren van zelf op big business’Invisible’ malware verborgen in vertrouwde software, het infiltreren van ondernemingen in de gehele wereld [TechRepublic]
0