Noll
Adwind, en Remote Access-Trojaner (RÅTTA) har anslutit till tidigare attacker mot industrier i hela världen, är tillbaka med en ny verktygslåda för att lura antivirus-program till att tillåta skadlig kod för att utnyttja systemen.
På måndag, it-säkerhet forskare från Cisco Talos, tillsammans med intelligence partner ReversingLabs, släppt resultatet av en undersökning i Adwind Trojan ‘ s senaste kampanj.
Även känd som AlienSpy, JSocket, och jRat, Trojan är ett skadligt program variant som innehåller ett brett spektrum av färdigheter.’
Inte bara är RÅTTA kunna samla PC information och tangenttryckningar, liksom stjäla inloggningsuppgifter och data som skickas via formulär på webben, malware är också möjligt att spela in video, ljud, och ta skärmdumpar. Trojanen har också möjlighet att manipulera systemet filer och överföra innehåll utan att användaren samtycke.
Nyare varianter av den Trojan som har uppgraderats för att överväga den lukrativa området för cryptocurrency, och Adwind kan nu också försöka stjäla den kryptografiska nycklar som krävs för att få tillgång cryptocurrency plånböcker på infekterade system.
Den Trojanska infekterar Datorer när de skickas som en skadlig last via phishing-kampanjer. Skapad e-post innehålla skadlig JAR-filer som, när de utförs, ansluta till RÅTTA kommando-och-kontroll (C2) – server för att hämta ytterligare nyttolaster och överföringar av stulna uppgifter.
Malware har tidigare varit ansluten till minst 400,000 attacker mot företag inom finans, tillverkning, transport och telekom-industrin, bland annat.
Den Trojan som har upptäckts i länder som Turkiet, USA, Indien, Vietnam och Hong Kong.
Multi-funktionella Trojan är också känt för att erbjuda på skadlig programvara-som-en-tjänst (MaaS) plattformar och kan användas av hot aktörer som är villiga att betala för en prenumeration.
En ny spam kampanj framkommit i augusti som sprider sig Adwind 3.0, en av de senaste upptäckt varianter av Trojanen. Kampanjens mål Windows -, Linux-och Mac-datorer med ett särskilt fokus på offer i Turkiet och Tyskland.
Vad är det som gör det nya systemet är dock intressant, är införandet av en Dynamic Data Exchange (DDE) kod injektion angrepp som syftar till att kompromissa Microsoft Excel och kringgå signatur-baserad antivirus lösningar.
Phishing kampanj skickar skadliga meddelanden som innehåller .CSV-eller .XLT tillgivenhet — både som öppnas med Excel som standard.
Den skadliga filer som innehåller en av två droppers, både som hävstång DDE injektion. Den dropper-filen kan också använda en rad olika tillägg, bland annat .htm, .xlt, .xlc, och .db.
“Inte alla av de förlängningar som kommer att öppnas av Microsoft Excel som standard,” Talos säger. “Men för icke-standard tillägg ett skript för att starta Excel med en fil med ett av dessa tillägg som en parameter är fortfarande en livskraftig attack scenario.”
Cisco Talos säger att den nya tekniken har genomförts i namn av förvirring. Början av filen innehåller ingen header för att kontrolleras, vilket i sin tur kan förvirra antivirusprogram som förväntar sig ASCII-tecken för att vara närvarande i CSV-format, till exempel.
Istället för att upptäcka den fil som en pipett, signaturer baserade antivirusprogram får helt enkelt tänka på filen är skadad. Talos säger att Microsoft Excel upptäcka den öppnade filen som falska, men användaren är fortfarande kunna öppna den “korrupta” arkiv om de vill.
Se även: NSS Labs filer stämning över påstådda CrowdStrike, Symantec, ESET produkt testa konspiration
Det finns tre varningar i totalt emitterade av Microsoft. Om användaren kvarstår, pipett och DDE injektion script köras.
Cisco Talos
Koden kommer då att skapa ett Visual Basic-skript som utnyttjar bitasdmin. Den bitasdmin verktyg, som utvecklats av Microsoft som ett legitimt program, är ett kommandoradsverktyg för att skapa, ladda ner, ladda upp jobb och övervaka deras framsteg.
TechRepublic: Varför anställa fler it-proffs får inte leda till bättre säkerhet
Bitasdmin missbrukas för att hämta den slutliga nyttolast, en Java archive fil som innehåller en kommersiell packer kallas Allatori Obfuscator. Detta packade filen och sedan dekomprimerar att distribuera full Adwind RÅTTA.
Medan denna typ av injektion attack är inte ny, forskare säger att “denna aktör hittat ett sätt att ändra det för att ha en extremt låg upptäckt förhållandet.”
“Även om både de allmänna metod och nyttolasten är känd som den här kampanjen visar[s] hur vissa variationer i kända artefakter kan lura antivirus [program],” Cisco Talos säger. “Deras beteende, men det är klart klassisk, vilket innebär att sandbox och beteende-baserade lösningar i linje med uppsåt baserade nätverk bör kunna upptäcka och stoppa dessa hot utan problem.”
CNET: Ring omgjorda Stick Upp Kammar vill ha en plats i ditt hem
I augusti, forskare från IBM X-Force upptäckt en acceleration i den verksamhet BackSwap, en finansiell Trojan som är specialiserad på attacker mot banker och andra finansiella institutioner.
Medan Trojanska hade tidigare endast upptäckts i it-angrepp som tas ut mot bankerna i Polen, malware har nu spridit sig och korsade spanska gränsen.
Tidigare och relaterade täckning
Trend Micro Zero Day team avslöjar unpatched Microsoft Jet RCE sårbarhet Cisco släpper korrigeringar för fjärrkörning av kod som brister i Webex Nätverk Inspelning Spelare Denna ryska botnet härmar du klicka för att förhindra Android-enhet fabrik återställs
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0