Zero
Un nuovo worm è stato scoperto che diffonde una variante moderna del remote access tool (RAT) Bladabindi.
Secondo i ricercatori di Trend Micro, il worm si diffonde Bladabindi-conosciuto anche come njRAT/Njw0rm — in un fileless forma propagando attraverso le unità rimovibili e di stoccaggio.
In un post sul blog di martedì, la cybersecurity squadra ha detto Bladabindi è stato recompliled, rinfrescato, e ritriti per anni, leader per la sua presenza in innumerevoli cyberespionage campagne.
Il worm che si sta diffondendo una variante moderna del Bladabindi viene rilevata come un Verme.Win32.BLADABINDI.AA.
Bladabindi nasconde una copia di se stesso in qualsiasi unità rimovibile collegato a un sistema infetto e anche la creazione di una voce del registro di sistema chiamato AdobeMX mantenere la persistenza. Questa voce verrà eseguito uno script di PowerShell per caricare il malware via riflettente di carico.
Questa tecnica di caricamento è ciò che rende il malware fileless. Con il caricamento di un file eseguibile nascosto nella memoria, piuttosto che un disco di sistema, questo può rendere il rilevamento da antivirus tradizionali software più difficile da raggiungere.
Il Bladabindi file viene compilato .NET e utilizza il codice di protezione del software per ulteriori offuscare il codice dannoso.
Vedi anche: L0rdix diventa il nuovo coltellino Svizzero di Windows hacking
Da notare anche il malware uso di AutoIt, un freeware linguaggio di scripting per il sistema operativo Windows, che è stato originariamente previsto per PC “roll out” scenari per configurare migliaia di sistemi in un solo colpo.
In questo caso, AutoIt è abusato come un malware compilatore, con lo script caricato in un unico eseguibile.
“[Questo] può fare il payload — backdoor — difficile da rilevare,” dicono i ricercatori.
Non è noto come le nuove varianti di Bladabindi diffusione di core, sistemi infetti, ma le vecchie versioni di malware sono stati rilevati in precedenza per campagne di phishing. Queste varianti — che sono stati basati su file — consentito anche agli utenti di scegliere le icone volti ad indurre in errore le vittime in esecuzione di codice malevolo e vorresti negozio temporaneo delle cartelle di Windows.
TechRepublic: Top consigli di sicurezza rivelato da esperti del settore
Il Bladabindi RATTO agisce come un furto di dati di sistema e backdoor e si è in grado di keylogging, il furto di credenziali durante le sessioni del browser, la cattura webcam filmati, e sia per il download e l’esecuzione di file.
Una volta backdoor elemento è eseguito con i criteri del firewall è creata a cui si aggiunge la PowerShell processo a un elenco di programmi ammissibili.
Furto di informazioni viene inviato a un utente malintenzionato di comando-e-controllo del server (C2) serverwater-boom[.]duckdns[.]org su porta 1177. Tuttavia, il malware utilizza un nome di dominio dinamico del sistema e quindi questo può essere modificate o aggiornate in qualsiasi momento.
CNET: il Legislatore introdurre il disegno di legge per fermare bot di rovinare la vacanza all’insegna dello shopping
Nel 2016, Fortinet scoperto 166 Bladabindi esempi relativi a hopto.org e myftp.biz, due domini utilizzati per mantenere un collegamento a C2 server.
L’introduzione di un fileless versione di malware noto è di preoccupazione. Secondo il Ponemon Institute, vulnerabilità zero-day e fileless attacchi sono ora le minacce più pericolose per la società.
“Gli utenti e soprattutto per aziende che ancora utilizzano supporti rimovibili sul posto di lavoro dovrebbe pratiche di sicurezza, di igiene, di” Trend Micro ha concluso. “Limitare e sicuro l’uso di supporti rimovibili o funzionalità USB, o strumenti come PowerShell (in particolare su sistemi con dati sensibili), e di monitorare il gateway, i computer, reti e server di anomali comportamenti e gli indicatori come C&C comunicazione e il furto di informazioni.”
Precedente e relativa copertura
UK gov non coglie documenti Facebook voluto mantenere privato a Cambridge Analytica battaglia SIM di scambio-21-anno-vecchio punteggi di $1 milioni di euro con dirottamento di un telefono Come Dropbox e rosso team ha scoperto un Apple zero-day exploit catena di un incidente
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0