Zero
Forcepoint
I ricercatori hanno notato che la Quant Trojan è stato dato un aggiornamento importante, è stato progettato per destinazione cryptocurrency portafogli e il Bitcoin in loro possesso.
No, non è così sorprendente che cyberattackers hanno preso atto della recente ondata di valore quando si tratta di Bitcoin. Mentre altre valute virtuali tra cui Ethereum sono aumentando gradualmente in valore, Bitcoin è esploso, raggiungendo $12,600 al momento della scrittura.
C’è il rischio di un incidente, secondo alcuni analisti, ma questo non è un deterrente per i criminali cercando di incassare altri fondi.
Martedì, ricercatori Forcepoint Security Labs ha rivelato un aggiornamento dell’esistente Quant malware.
La squadra è stata talmente semplice mantenere aggiornati i schede su il Trojan, che descrive il malware lo scorso anno come un distributore di Locky Zepto ransomware e Pony famiglie di malware.
Disponibile per l’acquisto in russo forum underground, Quant è stato pubblicizzato da un utente chiamato “MrRaiX,” o “DamRaiX,” ed era un semplice caricatore in grado di targeting geografico e sia per il download e l’esecuzione .Exe e Dll.
Tuttavia, in un post sul blog, Forcepoint i ricercatori dicono che una gamma di nuovi e relative funzioni sono state aggiunte a questa base relativamente malware.
Dopo di imbattersi in un attivo Quant caricatore pannello di amministrazione su un nuovo dominio registrato, il team ha scoperto che i più recenti esempi di Quant tutti ancora lo stesso payload file da un comando-e-controllo (C&C) server, ma i file sono stati abilitati per il download per impostazione predefinita.
I nuovi file sono di bs.dll.c, un cryptocurrency stealer e sql.dll.c, una libreria SQLite richiesto per il terzo nuovo file, zs.dll.c, di una credenziale stealer.
Bs.dll.c, conosciuta anche come MBS, è una libreria che esegue la scansione di una vittima directory Dati Applicazioni supportate portafogli, estrazione di dati e lo invia al server di controllo dell’aggressore. Tuttavia, questa funzione si applica solo ai Bitcoin, Terracoin, Peercoin, e Primecoin-supporto offline portafogli.
Le credenziali stealer, soprannominato Z*Stealer, è in grado di rubare l’applicazione e il sistema operativo informazioni di account. Una volta che la scansione è completata, tutte le credenziali afferrato per i malware vengono poi trasferiti al C&C da una richiesta HTTP POST ad una pagina PHP lato server.
Z*Stealer può essere utilizzato per rubare le credenziali da reti Wi-Fi, Chrome, Outlook Express, il software FTP, e Thunderbird, tra gli altri.
Mentre i due moduli possono essere acquistati separatamente, i ricercatori ipotizzano che, integrandoli con Quant loader, il creatore, è il tentativo di giustificare il prezzo di Quant.
“Questi due moduli sono ancora venduti separatamente: MBS può essere acquistato separatamente per $100 per una licenza completa e un supplemento di $15 per ogni aggiornamento, mentre Z*Stealer sarebbe di 100 $per una licenza completa con aggiornamenti gratuiti, o di $55 per una licenza di base e un supplemento di $15 per ogni aggiornamento,” Forcepoint dice. “Questo è rispetto ad un recente annuncio che offre cinque Quant licenze per $275.”
Il nuovo Quant costruire contiene anche un lungo sonno di comando, nel tentativo di evitare il rilevamento da antivirus e software di analisi in ambienti sandbox.
“Targeting cryptocurrency portafogli non è particolarmente nuova innovazione, e il targeting ‘offline’, portafogli è un relativamente consolidata modo di tentare di rubare “monete”,” i ricercatori hanno aggiunto. “È interessante notare che, mentre l’obiettivo dichiarato di Z*Stealer modulo è più generale, il furto di password, questo potrebbe avere una possibilità di rendimenti migliori rubando le credenziali utente per portafoglio online fornitori e borse come blockchain.info e Coinbase.”
Precedente e relativa copertura
PayPal TIO Reti rivela violazione dei dati influenzato 1,6 milioni di utenti
L’azienda dice che le prove di “accesso non autorizzato” è apparso durante una recente indagine.
Credito nazionale Federazione trapelato cittadino di dati attraverso chirografari AWS secchio
Decine di migliaia di clienti del servizio di riparazione di credito sono creduto di essere colpiti.
HP patch grave esecuzione di codice in modalità bug in enterprise stampanti
La vulnerabilità potrebbe essere sfruttata per eseguire l’esecuzione di codice remoto.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0