0
Backdoor Trojan är uppkallad efter den Bateleur Eagle.
Bild: iStock
En ökänd hacka gruppen är tillbaka med en ny metod för att distribuera trojan malware med målet att skapa bakdörrar in i nätverk av restaurang kedjor över OSS.
Dubbade Bateleur – efter en ras av eagle – av forskare vid Proofpoint som upptäckt det, denna bakdörr är tänkt att fungera i Carbanak, en grupp som fokuserar sina attacker på finansiella mål.
Koncernen har stulit över 1 miljard dollar från banker i hela världen och det är tänkt att den grupp som ligger bakom en rad andra attacker.
Carbanak har tidigare riktat gästfrihet organisationer, inklusive återförsäljare, handlare tjänster och leverantörer, men denna gång är det ett försök att infiltrera kedjan restauranger i syfte att skapa en bakdörr in i Windows-system med syfte att ta skärmdumpar, stjäla lösenord, för att exekvera kommandon och mer.
I syfte att öka risken för infektion utan återstående upptäckts, Javascript bakdörr åtföljs av nya makron och anti-analys och sandlåda skatteflykt för att dölja verksamheten.
Som med många it-angrepp, en phishing e-post används för att lura i målet. Meddelandet är skickat från en Outlook-adress eller ett Gmail och hävdar att innehålla information om en tidigare diskuterat in i ett bifogat Word-dokument.
En phishing e-post används för att sprida skadlig kod till mål.
Bild: Proofpoint
Den bifogade filen fordringar dokumentet är krypterad och skyddas med “Outlook Skydda Tjänsten “eller” Google Dokument Skydda ” beroende på adressen för att skicka meddelandet. I båda fall, namn på äkta antivirus företag att synas på JScript-dokument pipett för att lura offret i en falsk känsla av säkerhet.
Om användaren luras att aktivera redigering av dokument öppnar den skadliga koden med en serie av schemalagda aktiviteter i ett försök att undvika upptäckt.
Forskare beskriver Jscript som med “robusta funktioner”, inklusive anti-sandbox funktionalitet och anti-analys förvirring. Det är också i stånd att hämta infekterade system för information, lista processer som körs, utförande av anpassade kommandon och PowerShell-Skript, avinstallera och uppdatera sig själv och att ta skärmdumpar.
I teorin, Bateleur kan också exfiltrate lösenord, även om just denna instruktion kräver en extra modul från command and control-server för att fungera. För närvarande malware saknar några av de funktioner som krävs för att göra detta, och det har inte heller backup-servrar, men forskarna räknar med att dessa ska läggas i en nära framtid – särskilt med tanke på den ihållande karaktär av angriparna.
Proofpoint har identifierat Carbanak som förövarna av denna kampanj och den nya bakdörr med “en hög grad av säkerhet” på grund av vissa telltale tecken.
För det första, liknande meddelanden som har skickats till samma mål, men försök att leverera meddelanden som innehåller GGLDR, ett skadligt skript i samband med Carbanak är VBScript malware.
För det andra, en Meterpreter i minnet DLL-injektion downloader skript som heter TinyMet har setts som laddas ner genom att Bateleur, en process som har upprepade gånger setts som används av koncernen.
Forskarna noterar också att det i Powershell lösenord grabber utnyttjas av Bateleur innehåller en identisk Dynamic-link library som finns inbäddade i GGLDR prover.
“Bateleur JScript bakdörr och nya makro-ladin handlingar verkar vara den senaste i koncernens växande uppsättning verktyg, som ger ny form av infektion, kompletterande sätt att dölja sin verksamhet, och växande möjligheter för att stjäla information och köra kommandon direkt på offret maskiner,” Proofpoint forskare Matthew Mesa och Darien Huss sade i ett blogginlägg.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Ryska säkerhetsföretaget förnekar länkar till Carbanak TrojanChipotle senaste felet har ont i din plånbok, inte din mage [MAG]Wendy ‘s medger kreditkort hack är mycket värre än första thoughtCybercrime Inc: Hur hacking gäng modellering sig på stora företag’Invisible” malware dolda i betrodd programvara, infiltrera företag i hela världen [TechRepublic]
0