0
Trend Micro dice Coinminer uso di fileless script WMI e EternalBlue fa la sua minaccia di macchine Windows “estremamente furtivo e persistente”.
Immagine: Trend Micro
I criminali sono di infettare i computer Windows con fileless malware che viene eseguito in memoria, e mette il Pc dirottati al lavoro minerario di cryptocurrency.
Due caratteristiche, in particolare, fanno di questo malware, noto come Coinminer, “estremamente prudente e persistente”, secondo i ricercatori di Trend Micro.
Per infettare i computer Windows, usando il cosiddetto EternalBlue vulnerabilità impiegato da WannaCry e NotPetya come un meccanismo di diffusione. Microsoft ha rilasciato una patch per la falla nel mese di Marzo, ma un’ondata di infezioni in Asia, soprattutto in Giappone, suggeriscono alcuni sistemi non sono stati aggiornati.
Su macchine vulnerabili a questo bug, il malware viene eseguito una backdoor che consente di installare più di Strumentazione Gestione Windows (WMI) gli script in esecuzione in memoria, che li rende più difficile da rilevare.
Gli amministratori IT possono utilizzare WMI per l’esecuzione di script che consentono di automatizzare le attività amministrative sul computer remoto e di acquisire i dati di gestione da questi computer e installato le applicazioni di Windows.
Tuttavia, in questo caso il cryptocurrency di data mining malware utilizza WMI per più scopi illeciti, tra cui il collegamento a un utente malintenzionato di comando e controllo di domini di scaricare il software di estrazione e malware.
WMI il malware non è nuovo ed è stato utilizzato nel famigerato malware Stuxnet. FireEye ha anche trovato un avanzato gruppo di hacker APT29 utilizzando WMI capacità di creare persistente e furtivo backdoor da innescare automaticamente una backdoor quando un sistema si avvia.
Malwarebytes identificato WMI tecniche che vengono utilizzati per dirottare Chrome e Firefox per reindirizzare gli utenti a un sito malevolo.
Secondo Trend Micro, il data mining operazione malware include un timer che attiva automaticamente il malware script WMI ogni tre ore.
Gli amministratori dovrebbero disattivare il SMBv1 protocollo di condivisione file per prevenire gli attacchi utilizzando Eterna Blu, un exploit per SMBv1 pensato per essere creato dalla NSA e trapelato nel mese di aprile di the Shadow Broker.
Anche prima che la perdita di EternalBlue e WannaCry adozione, Microsoft stava invitando i clienti a smettere di usare il 30-anno-vecchio protocollo.
Trend Micro anche i punti di un tool di Microsoft che può seguire la WMI attività e consiglia di limitare l’WMI in base alle necessità, nonché la possibilità di disabilitare WMI su macchine che non hanno bisogno di accedere ad esso.
Relativi copertura
Gli hacker stanno facendo il loro malware più potente copiando WannaCry e Petya ransomware trucchi
Il gruppo dietro Trickbot cerca di dare il suo Trojan malware auto-diffusione di worm come funzionalità che hanno reso recenti attacchi ransomware andare globale.
Trapelate NSA hacking exploit utilizzato in WannaCry ransomware è ora di accendere il malware Trojan
EternalBlue Windows falla di sicurezza viene utilizzato per rendere Nitol e Gh0st RATTO cyberespionage strumenti più efficaci, avvertono i ricercatori.
0