Noll
En ny mask har upptäckts som sprider en modern variant av remote access-verktyg (RÅTTA) Bladabindi.
Enligt forskare från Trend Micro, mask sprider sig Bladabindi-även känd som njRAT/Njw0rm — i en fileless form av förökningsmaterial via flyttbara enheter och lagring.
I ett blogginlägg på tisdag, it laget sa Bladabindi har varit recompliled, utvilad, och rehashed för år, vilket leder till dess närvaro i otaliga cyberespionage kampanjer.
Den mask som sprider sig nu en modern variant av Bladabindi identifieras som en Mask.Win32.BLADABINDI.AA.
Bladabindi döljer en kopia av sig själv på alla flyttbara enheter som är anslutna till ett infekterat system och kommer också att skapa en registerpost som kallas AdobeMX att upprätthålla uthållighet. Detta inlägg kommer att utföra ett PowerShell script för att ladda skadlig kod via reflekterande lastning.
Denna laddning teknik är det som gör malware fileless. Genom att ladda från en körbar dolda i minnet snarare än ett system disk, detta kan göra upptäckt av traditionella antivirusprogram svårare att uppnå.
Den Bladabindi filen i sig är sammanställt i .NETTO och använder koden skydd programvara för att ytterligare dölja skadlig kod.
Se även: L0rdix blir den nya Schweiziska armékniven av Windows dataintrång
Också att notera är skadlig programvara är att använda AutoIt, ett freeware-skriptspråk för operativsystemet Windows, som ursprungligen var avsedd för PC – “rulla ut” – scenarier för att konfigurera tusentals system på en gång.
I detta fall, AutoIt missbrukas som en malware-kompilator, med de viktigaste skriptet läses in i en enda körbar.
“[Detta] kan göra nyttolast — bakdörr — svårt att upptäcka,” forskarna säger.
Det är inte känt hur nya varianter av Bladabindi sprida sig till kärnan, infekterade system, men äldre versioner av skadlig kod har tidigare upptäckts i phishing-kampanjer. Dessa varianter-som var fil-baserat-också tillåts användare att välja ikoner gjorda för att vilseleda offren i att köra skadlig kod och skulle lagra sig i tillfälliga Windows mappar.
TechRepublic: Top säkerhet tips revealed av experter från industrin
Den Bladabindi RÅTTA fungerar som stjäl information system-och bakdörr och kan keylogging, stöld av referenser under webbläsaren sessioner, fånga webbkamera-bilder, och att både ladda ned och exekvera filer.
När bakdörr del utförs, en brandvägg politik skapas som lägger PowerShell-processen till en lista över godkända program.
Stulen information skickas till angriparens command-and-control server (C2) serverwater-boom[.]duckdns[.]org på port 1177. Men den malware använder en dynamisk dns (domain name system och så detta kan komma att ändras eller uppdateras när som helst.
CNET: Lagstiftare presentera lagförslag för att stoppa robotar från att förstöra semester shopping
I och med 2016, Fortinet upptäckt 166 Bladabindi prov relaterade till hopto.org och myftp.biz, två domäner som används för att upprätthålla en anslutning till C2 servrar.
Införandet av en fileless version av kända malware är av intresse. Enligt Ponemon Institute, zero-day sårbarheter och fileless attacker är nu en av de farligaste hoten till företag.
“Användare och särskilt företag som fortfarande använder flyttbara medier på arbetsplatsen bör öva säkerhet, hygien,” Trend Micro har ingåtts. “Begränsa och säker användning av flyttbara media eller USB-funktionalitet, eller verktyg som PowerShell (särskilt på system med känsliga uppgifter), och proaktivt övervaka gateway, effektmått, nätverk och servrar för avvikande beteenden och indikatorer som C&C-kommunikation och information stöld.”
Tidigare och relaterade täckning
BRITTISKA regeringen inte tar handlingar Facebook ville hålla privat i Cambridge Analytica slaget SIM-att byta en 21-årig poäng $1 miljon kronor genom att kapa en telefon Hur Dropbox röda laget upptäckte en Apple-zero-day exploit kedja av olycka
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0