Zero
Una potente forma di malware che possono essere utilizzati per la distribuzione di minacce, tra cui Trojan, ransomware e dannoso cryptocurrency di data mining software è stato aggiornato con una nuova tecnica che è stato raramente visto in natura.
Distribuito in e-mail di spam phishing campagne, Fumo Loader è stato sporadicamente, attivo dal 2011, ma si è continuamente evoluta. Il malware è stato particolarmente intenso in tutto il 2018, con campagne, tra cui la distribuzione di Fumo Loader tramite falsi patch per il Crollo e di Spettro di vulnerabilità che è emerso all’inizio di quest’anno.
Come molte campagne di malware, l’attacco iniziale è condotta tramite un malware Microsoft Word allegato, che trucchi utenti il permesso macro, l’attivazione di Fumo Loader per essere installato sul sistema compromesso e permettendo il Trojan di fornire altri software dannosi.
I ricercatori Cisco Talos sono state seguendo Fumo Loader per qualche tempo e hanno visto le sue ultime campagne in azione. Uno degli attuali preferito payload è TrickBot – un Trojan bancario progettato per rubare le credenziali, password e altre informazioni sensibili. E-mail di Phishing distribuzione di malware sono progettati per apparire come le richieste di fattura da una società di software.
E-mail di phishing utilizzati per consegnare il Fumo Loader.
Immagine: Cisco Talos
Cosa incuriosito i ricercatori è come Fumo Loader è ora utilizzando un tecnica di iniezione, che non era stato utilizzato per distribuire malware fino a pochi giorni fa. Il codice di tecnica di iniezione è noto come Propagare ed è stato descritto come un potenziale mezzo di compromesso alla fine dello scorso anno.
Questa tecnica abusi, il SetWindowsSubclass funzione di un processo utilizzato per installare o aggiornare sottoclasse windows in esecuzione sul sistema, e può essere utilizzato per modificare le proprietà di windows in esecuzione nella stessa sessione. Questo può essere usato per iniettare codice e rilasciare i file, mentre anche nascondere il fatto è accaduto, rendendolo un utile, attacco furtivo.
È probabile che gli aggressori hanno osservato pubblicamente disponibili posti a Propagare in modo da ricreare la tecnica dannose estremità.
Vedi anche: Qual è il malware? Tutto quello che devi sapere su virus, trojan e malware
Chi sta dietro a questo processo hanno anche aggiunto anti-tecniche di analisi per complicare l’analisi forense di runtime AV scanner, analisi e debug di qualsiasi ricercatori possono tentare di condurre il malware.
Mentre c’è ancora un sacco di Fumo Loader attacchi che cercare di fornire altri malware per sistemi compromessi, in alcuni casi, il malware è stato dotato di un proprio plugin per andare dritto su esecuzione di proprie attività dannose.
Ognuno di questi plug-in sono progettati per rubare informazioni sensibili, in particolare le credenziali archiviate o di informazioni sensibili trasferiti su un browser del calibro di Firefox, Internet Explorer, Chrome, Opera, QQ Browser, Outlook e Thunderbird possono essere utilizzati per rubare i dati.
Il malware può anche essere iniettato in applicazioni come TeamViewer, mettendo le credenziali di altri sulla stessa rete del computer infetto a rischio.
È possibile che il Fumo Loader è stato dotato di queste attività perché i suoi gestori non sono attualmente ottenere molto di business in risposta ad un annuncio sul buio di un forum web pubblicità la loro capacità di installare altri tipi di malware sul compromessi rete di computer. Potrebbe anche solo essere un mezzo di approfittare della botnet per i loro scopi.
In ogni modo, esso indica che le organizzazioni devono rimanere vigili contro potenziali minacce.
“Abbiamo visto che il cavallo di troia e la botnet mercato è costantemente sottoposto a modifiche. I giocatori sono continuamente migliorare la loro qualità e le tecniche. Essi modificare queste tecniche, su base continuativa, per migliorare la loro capacità di bypass strumenti di sicurezza. Questo dimostra chiaramente quanto sia importante per assicurarsi che tutti i nostri sistemi sono fino a data”, ha scritto Cisco Talos ricercatori.
“Abbiamo fortemente incoraggiare gli utenti e le organizzazioni si raccomanda di seguire le procedure di sicurezza, come ad esempio l’installazione di patch di sicurezza non appena disponibili, esercitare cautela quando la ricezione di messaggi da parte di terzi ignoti, e di garantire che una robusta offline soluzione di backup. Queste pratiche aiutano a ridurre la minaccia di un compromesso, e dovrebbe essere di aiuto nel recupero di tale attacco,” hanno aggiunto.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
I Cyber criminali trovare un nuovo modo per condividere malware e scamsThis malware è raccolta credenziali salvate in Chrome, Firefox browsersThis falso Spettro/Fusione patch di infettare il PC con malware [TechRepublic]gli Hacker prendono di mira le reti pubblicitarie per iniettare cryptocurrency di data mining scriptsHackers hid codice dannoso nel popolare software CCleaner [CNET]
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0