Noll
En kraftfull form av skadlig kod som kan användas för att sprida hot, inklusive Trojaner och skadliga ransomware cryptocurrency gruv-programvaran har uppdaterats med en ny teknik som sällan har sett i det vilda.
Distribueras i spam e-phishing-kampanjer, Rök Loader har varit sporadiskt aktiv sedan 2011 men har kontinuerligt utvecklats. Det skadliga programmet har varit särskilt upptagen hela 2018, med kampanjer, inbegripet distribution av Rök Loader via falska patchar för Härdsmälta och Spectre och svagheter som framkommit tidigare i år.
Som många skadliga kampanjer, attacken sker via en skadlig Microsoft Word bifogad fil som lurar användare till att tillåta makron, så Rök Loader för att installeras på den infekterade systemet och att låta det Trojanska att leverera ytterligare skadlig programvara.
Forskare hos Cisco Talos har varit att följa Rök Loader för viss tid och har sett sin senaste kampanjer i handling. En av de nuvarande rekommenderad last är TrickBot – en bank Trojan som utformats för att stjäla inloggningsuppgifter, lösenord och annan känslig information. Phishing e-post att distribuera skadlig programvara är utformad för att se ut som en faktura önskemål från en programvara för företag.
Ett nätfiskemeddelande som används för att leverera Rök Loader.
Bild: Cisco Talos
Vad nyfiken forskare är hur Rök Loader är nu med hjälp av en injektion teknik som inte hade använts för att distribuera skadlig kod tills för bara några dagar sedan. Koden injektion teknik är känd som Utbreder sig och beskrevs först som en potentiell innebär en kompromiss i slutet av förra året.
Denna teknik utnyttjar SetWindowsSubclass funktion – en process som används för att installera eller uppdatera underklass windows som körs på systemet och kan användas för att ändra egenskaperna för windows körs i samma session. Detta kan användas för att injicera kod och släppa filer samtidigt som döljer det faktum att det har hänt, vilket gör det till en användbar, smygande attack.
Det är troligt att angriparna har observerats allmänt tillgänglig inlägg på Propagera för att återskapa tekniken för sina egna illasinnade syften.
Se även: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara
De som står bakom denna process har också lagt till anti-analys tekniker för att komplicera kriminalteknik, runtime AV skannrar, spårning och felsökning någon forskare kan försöka att göra på malware.
Medan det fortfarande finns massor av Rök Loader attacker som ser till att leverera ytterligare skadlig kod till äventyras system, i vissa fall skadlig kod är att vara utrustade med sina egna plugins för att gå direkt till att utföra sin egen skadliga uppgifter.
Var och en av dessa plugins är utformade för att stjäla känslig information, särskilt sparade inloggningsuppgifter eller känslig information som överförs via en webbläsare – lik av Firefox, Internet Explorer, Chrome, Opera, QQ Webbläsare, Outlook och Thunderbird kan alla användas för att stjäla data.
Det skadliga programmet kan även injiceras i program som TeamViewer, eventuellt sätta referenser för andra på samma nätverk som den infekterade maskinen vid risk för.
Det är möjligt att Röka Loader har varit utrustade med dessa uppgifter, eftersom dess aktörer för närvarande inte att få så mycket svar på annonser på mörka webb-forum för att göra reklam för sin förmåga att installera andra typer av skadlig programvara på komprometterade nätverk av maskiner. Det kan också bara vara ett medel för att dra nytta av botnät för sina egna syften.
Hursomhelst, det betyder att organisationer måste vara vaksamma mot potentiella hot.
“Vi har sett att den trojan och botnät marknaden genomgår ständigt förändringar. Spelarna är att kontinuerligt förbättra sin kvalitet och teknik. De ändra dessa tekniker löpande för att förbättra deras möjligheter att kringgå säkerheten verktyg. Detta visar tydligt hur viktigt det är att se till att alla våra system är uppdaterade,” skrev Cisco Talos forskare.
“Vi rekommenderar starkt att användare och organisationer att följa rekommenderade säkerhet metoder, såsom att installera säkerhetsuppdateringar så snart de blir tillgängliga, att utöva försiktighet när du tar emot meddelanden från okända tredje part, och garanterar att en robust offline backup-lösning är på plats. Dessa metoder kommer att hjälpa till att minska hotet om en kompromiss, och bör stöd i återhämtning av någon sådan attack,” tillade de.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Cyberskurkar hitta ett nytt sätt att dela med malware och scamsThis malware är skörd sparade referenser i Chrome, Firefox browsersThis falska Spectre/Härdsmälta patch kommer att infektera din DATOR med skadlig kod [TechRepublic]Hackare mål annonsnätverk för att injicera cryptocurrency mining scriptsHackers gömde skadlig kod i populära CCleaner programvara [MAG]
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0