DANSK

Nye Trojan, malware angreb restaurant kæder

179

En berygtet hacking gruppen er tilbage med en ny metode til at distribuere malware, trojanske med det formål, at skabe bagdøre i net af restaurant kæder på tværs af USA.

Døbt Bateleur – efter en race af eagle – af forskere på Proofpoint, der afslørede, at det, denne bagdør menes det arbejde, Carbanak, en gruppe, der som fokuserer sine angreb på finansielle mål.

Gruppen har stjålet over 1 milliard dollars fra banker i hele verden, og det er tænkt gruppen står bag en perlerække af andre angreb.

Carbanak har tidligere målrettet gæstfrihed organisationer, herunder detailhandlere, merchant services, og leverandører, men denne gang er det er forsøg på at infiltrere kæde restauranter for at skabe en bagdør ind i Windows-systemer med det formål at tage screenshots, stjæle adgangskoder, udfører kommandoer og meget mere.

For at øge chancerne for infektion uden resterende opdaget, Javascript bagdør er ledsaget af nye makroer og anti-analyse og sandkasse skatteunddragelse teknikker for at kappe aktivitet.

Som med mange cyberangreb, en phishing-e-mail bruges til at lokke i målet. Beskeden er sendt fra en Outlook-adresse eller en Gmail og hævder at indeholde oplysninger om en tidligere diskuteret ind i en vedhæftet Word-dokument.

Den vedhæftede fil, hævder det dokument, der er krypteret og beskyttet af “Outlook Beskytte Service’ eller ‘Google Dokumenter Beskytte Service’, afhængigt af den adresse, du sender beskeden. I begge tilfælde, navne på autentisk antivirus virksomheder vises på JScript dokument dropper for at lokke offeret ind i en falsk følelse af sikkerhed.

Hvis brugeren bliver lokket til at aktivere redigering af det dokument, der giver adgang til ondsindet payload med en række planlagte opgaver i et forsøg på at undgå afsløring.

Forskere beskrive Jscript som havende en “robust kapaciteter”, herunder anti-sandbox funktionalitet og anti-analyse formørkelse. Det er også i stand til at hente inficerede system oplysninger, liste over kørende processer, udførelse af brugerdefinerede kommandoer og PowerShell-Scripts, afinstallere og opdatere sig selv, og at tage screenshots.

I teorien, Bateleur kan også exfiltrate adgangskoder, selv om denne instruktion kræver et ekstra modul fra kommando og kontrol-server for at kunne fungere. I øjeblikket, malware mangler nogle af de funktioner, der kræves for at gøre dette, ligesom det heller ikke har backup-servere, men forskerne forventer, at disse vil være tilføjet i nærmeste fremtid – især i betragtning af den vedvarende karakter af angriberne.

Proofpoint har identificeret Carbanak som gerningsmændene bag denne kampagne, og den nye bagdør med “en høj grad af sikkerhed” på grund af nogle afslørende tegn.

For det første, lignende meddelelser er blevet sendt til de samme mål, men forsøger at levere beskeder, der indeholder GGLDR, at et skadeligt script, der er forbundet med Carbanak er VBScript malware.

For det andet, en Meterpreter-hukommelse DLL indsprøjtning downloadet script kaldet TinyMet er blevet spottet bliver hentet af Bateleur, en proces, der flere gange blevet observeret bliver brugt af gruppen.

Forskere bemærk også, at Powershell password grabber udnyttet af Bateleur indeholder en identisk Dynamic-link library, der findes indlejret i GGLDR prøver.

“Bateleur JScript bagdør og ny makro-laden dokumenter, der synes at være den seneste i koncernens voksende værktøjskasse, der giver nye muligheder for infektion, supplerende metoder til at skjule deres aktiviteter, og voksende kapacitet til at stjæle oplysninger og udførelse af kommandoer direkte på offer-maskiner,” Proofpoint forskere Matthew Mesa og Darien Huss sagde i et blogindlæg.

LÆS MERE OM IT-KRIMINALITET

Russiske sikkerhedsfirma benægter links til Carbanak TrojanChipotle ‘s seneste fejl gør ondt din pung, og ikke din mave [CNET]Wendy’ s, indrømmer kredit kort hack er langt værre end først thoughtCybercrime Inc: Hvordan hacking bander er modellering selv om big business’Invisible ” malware er skjult i tillid til software, infiltrerer virksomheder over hele verden [TechRepublic]