Zero
Adwind, un Trojan di Accesso Remoto (RATTO) collegato in precedenza, gli attacchi contro le industrie di tutto il mondo, torna con un nuovo toolkit è stato progettato per ingannare i programmi antivirus in permettendo che il malware di sfruttare sistemi.
Lunedì, cybersecurity ricercatori Cisco Talos, insieme con intelligenza partner ReversingLabs, ha pubblicato i risultati di un’indagine in Adwind Trojan ultima campagna.
Noto anche come AlienSpy, JSocket, e jRat, il Trojan è un malware variante che contiene una vasta gamma di capacità.’
Non solo è il topo, in grado di raccogliere informazioni di PC e tastiera, così come rubare le credenziali e dati trasmessi via web form, il malware è anche in grado di registrare video, audio, e prendere screenshot. Il Trojan è in grado di manomettere i file di sistema e trasferire il contenuto senza il consenso dell’utente.
Più recenti varianti del Trojan sono stati aggiornati a considerare redditizio campo di cryptocurrency, e Adwind ora può anche tentare di rubare le chiavi di crittografia necessarie per l’accesso cryptocurrency portafogli sui sistemi infetti.
Il Trojan infetta il Pc dopo essere stato inviato come un payload dannoso tramite campagne di phishing. Predisposto e-mail contenere i file JAR che, una volta eseguite, collegare il RATTO di comando e controllo (C2) server per scaricare ulteriori carichi e il trasferimento di dati rubati.
Il malware sono già stati collegati ad almeno 400.000 attacchi contro le imprese in materia di finanza, produzione, spedizione, e il settore delle telecomunicazioni, tra gli altri.
Il Trojan è stato rilevato in paesi come Turchia, stati UNITI, India, Vietnam, Hong Kong.
Multi-funzionale Trojan è anche un noto offerta di malware-as-a-service (MaaS) piattaforme e può essere utilizzato da minaccia attori disposti a pagare un abbonamento.
Una nuova campagna di spam emerso nel mese di agosto che si sta diffondendo Adwind 3.0, una delle ultime rilevato varianti del Trojan. La campagna mira a Windows, Linux e Mac macchine con un focus particolare sulle vittime in Turchia e Germania.
Ciò che rende il nuovo schema di interessante, tuttavia, è l’inclusione di un DDE (Dynamic Data Exchange) di iniezione di codice di attacco che mira a compromettere Microsoft Excel e aggirare con firma soluzioni antivirus.
La campagna di phishing invia i messaggi pericolosi contenenti un .CSV o .XLT allegato — che sono entrambi aperti da Excel come predefinita.
I file dannosi contenere uno dei due lamelle, sia che sfruttano il DDE di iniezione. Il dropper di file possono anche utilizzare una varietà di estensioni, tra cui .htm, .xlt, .xlc, ed .db.
“Non tutte le estensioni potranno essere aperti con Microsoft Excel, per impostazione predefinita,” Lui dice. “Tuttavia, per il non-default le estensioni di uno script di avvio di Excel con un file con una di queste estensioni, come parametro, è comunque possibile scenario di attacco.”
Cisco Talos dice che la nuova tecnica è stata implementata in nome di offuscamento. L’inizio del file non contiene intestazione di essere controllato e che potrebbe, a sua volta, confondere un software antivirus che si aspetta caratteri ASCII di essere presente in formato CSV, per esempio.
Invece di individuare il file come un contagocce, firma il software antivirus può semplicemente considerare il file danneggiato. Talos dice che Microsoft Excel consente di rilevare che il file aperto come falso, ma l’utente è ancora in grado di aprire il “danneggiato” file, se lo desiderano.
Vedi anche: NSS Labs file di causa sulla presunta CrowdStrike, Symantec, ESET test di prodotto cospirazione
Ci sono tre gli avvisi in totale rilasciata da Microsoft. L’utente dovesse persistere, il contagocce e DDE iniezione esecuzione di script.
Cisco Talos
Il codice sarà quindi creare uno script di Visual Basic che utilizza bitasdmin. Il bitasdmin strumento, sviluppato da Microsoft come software legittimo, è uno strumento della riga di comando per la creazione, il download o l’upload di posti di lavoro e il monitoraggio del loro avanzamento.
TechRepublic: Perché l’assunzione di più di cybersecurity pro non può portare ad una migliore sicurezza
Bitasdmin è abusato per scaricare il finale payload, un archivio Java file che contiene un commerciale packer chiamato Allatori Obfuscator. Questo file compresso decomprime quindi di distribuire l’intero Adwind RATTO.
Mentre questo tipo di iniezione attacco non è una novità, i ricercatori dicono che “questo attore ha trovato un modo per modificarlo in modo da avere una rilevazione estremamente bassi di un rapporto.”
“Sebbene sia il metodo generico e la capacità di carico, sono noti, la campagna mostra[s] come una varianza in ben conosciuta manufatti possono ingannare antivirus [software],” Cisco Talos dice. “Il loro comportamento, tuttavia, è chiaramente classica, il che significa che il sandboxing e il comportamento di soluzioni basate allineato con l’intento di reti di base dovrebbe essere in grado di rilevare e fermare queste minacce senza problemi.”
CNET: Anello ridisegnato Bastone Camme desidera un posto all’interno della vostra casa
Nel mese di agosto, i ricercatori di IBM X-Force scoperto un’accelerazione nelle attività di BackSwap, una finanziaria di Trojan che è specializzato in attacchi contro le banche e altre istituzioni finanziarie.
Mentre il Trojan in precedenza aveva solo stato rilevato in attacchi di riscossa contro le banche in Polonia, il malware si è ormai diffuso e attraversato confini spagnoli.
Precedente e relativa copertura
Trend Micro Zero team svela senza patch di Microsoft Jet RCE vulnerabilità Cisco rilascia le correzioni per l’esecuzione di codice remoto difetti in Webex Network di Registrazione Giocatore russo botnet imita il clic di prevenire i dispositivi Android ripristino di fabbrica
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0