Nul
Een goed uitgeruste en productieve hacken van de groep is de verspreiding van een nieuw soort malware dat geeft de hackers desktop toegang op afstand als onderdeel van een informatie-het stelen van de campagne targeting banken, detailhandelaren en bedrijven.
ServHelper malware actief is sinds November vorig jaar en installeert een backdoor op Windows-Pc ‘ s, waardoor aanvallers op afstand toegang tot de besmette machines. Maar dat is niet waar de aanval eindigt: ServHelper fungeert ook als een downloader voor FlawedGrace, een familie trojan malware die voor het eerst verscheen in November 2017 en wordt omschreven als “een full-featured” Remote Access Trojan.
De gecombineerde ServHelper en FlawedGrace campagne werd beschreven door onderzoekers van Proofpoint. Zij schrijven de aanvallen TA505, een cybercrime groep heeft enkele van de grootste cyberaanvallen van de afgelopen jaren, zoals de Dridex banking trojan en Locky ransomware. De groep is actief sinds minstens 2014.
ServHelper campagnes beginnen door spamming uit phishing e-mails. De berichten zijn basic, gewoon vragen potentiële slachtoffers om documenten te openen, vaak beweerd hebben betrekking op overboekingen. Echter, vanwege het grote aantal verzonden berichten tegelijk — tientallen van duizenden e-mails worden verdeeld in een keer — de aanvallers schijnbaar geloven dat ze kunnen vangen uit een aanzienlijk deel van de gebruikers, ondanks het fundamentele karakter van de phishing-aanvallen.
“TA505 heeft doorgaans niet in loondienst zware social engineering, het vertrouwen in plaats van op volume te vinden onwetende slachtoffers. Dat gezegd hebbende, de menselijke nieuwsgierigheid en onze conditionering te snel openen van e-mails en bijlagen zijn vaak genoeg, zelfs zonder geavanceerde social engineering” Chris Dawson, de intelligentie van de dreiging leiden in Proofpoint vertelde ZDNet.
Een phishing e-mail gebruikt voor het distribueren van malware.
Afbeelding: Proofpoint
Degenen die het openen van de bijlagen-en macro ‘ s inschakelen — enable ServHelper te worden geïnstalleerd op de machine. De onderzoekers concludeerden dat deze nieuwe vorm van malware wordt actief ontwikkeld, met nieuwe opdrachten en functionaliteit worden toegevoegd in bijna elke nieuwe campagne, omdat het voor het eerst verscheen.
Maar ServHelper de primaire functie ongewijzigd is gebleven: het dient als een achterdeur naar aanvallers remote desktop toegang tot de besmette apparaat en biedt aanvallers de mogelijkheid te kapen gebruikersaccounts en web-profielen die hen met zijn grote delen van informatie over de geïnfecteerde slachtoffer.
Dat is niet het einde van de aanval, echter, omdat ServHelper is in staat van het downloaden en uitvoeren van een ander malware op de besmette PC — FlawedGrace.
FlawedGrace verscheen voor het eerst voor een korte periode in November 2017 voordat ze verdwijnen en alleen re-emerging als onderdeel van de ServHelper campagne. De onderzoekers suggereren dat “belangrijke ontwikkeling” heeft plaatsgevonden op FlawedGrace, die is gebouwd met behulp van object-georiënteerde en multithreaded programmering technieken-een techniek die gericht is op het maken van reverse-engineering en analyse van de malware moeilijker.
De remote access trojan mogelijkheden van FlawedGrace bedoel het biedt aanvallers de mogelijkheid krijgen bijna de volledige controle over een besmette apparaat. Gezien hoe de campagne is bedoeld voor banken en winkeliers, is het waarschijnlijk dat het verwerven van geld is het uiteindelijke doel van de aanvallen, door het stelen van bank-referenties, of met behulp van de referenties van de bedrijven om toegang te krijgen tot gevoelige gegevens die kunnen worden verhandeld op voor de winst.
ZIE: Wat is malware? Alles wat u moet weten over virussen, trojaanse paarden en kwaadaardige software
Het is van mening dat de ServHelper en FlawedGrace campagne blijft actief samen met een andere TA505 trojan malware campagne die ontstond in de late 2018. De groep gebruikt om scherp te stellen op ransomware, maar steeds meer is opgeschoven in de richting information stealers — en het is waarschijnlijk dat ze hebben gekozen voor het distribueren van verschillende vormen van malware detectie te vermijden en zorgen voor een maximaal rendement.
“De groep heeft een verscheidenheid aan malware om hun toolkit de loop van de jaren, met aanvullingen in 2018 gericht op Ratten en laders,” zegt Dawson.
“We kunnen alleen speculeren over de redenering achter hun keuzes op malware, nieuwe malware geeft hen nieuwe mogelijkheden om detectie te vermijden en shift, bijvoorbeeld van ransomware om de bankiers of de bankiers van de Ratten, met de bijbehorende kansen om het geld volgen.”
Proofpoint heeft gedetailleerde informatie over Indicatoren van het Compromis voor ServHelper en FlawedGrace in hun analyse van de malware.
LEES MEER OVER CYBER CRIME
Hoe een gehackte laptop geleid tot een volledig netwerk in gevaar wordt gebracht
Nieuwe ransomware van uw computer in een hacker tool CNET
Hoe te leren van hackers kan ons beschermen tegen cyber aanvallen
Eenvoudige manieren om te voorkomen dat malware op al uw apparaten TechRepublic
Double trouble: tweeledige cyber aanval infecteert slachtoffers met data-stelende trojan malware en ransomware
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0