Nul
En veludrustet og frodig hacking gruppen er at distribuere en ny stamme af malware, der giver hackere fjernadgang til skrivebordet som en del af en informations-stjæle kampagne rettet mod banker, detailhandlere og virksomheder.
ServHelper malware har været aktiv siden November sidste år, og installerer en bagdør på Windows-Pc ‘ er, som giver angriberne med remote adgang til inficerede maskiner. Men det er ikke der, hvor angrebet slutter: ServHelper også fungerer som et downloader for FlawedGrace, en familie af trojanske malware, der optrådte første gang i November 2017, og er beskrevet som “en full-featured” Remote Access Trojan.
Den kombinerede ServHelper og FlawedGrace kampagne har været beskrevet af forskere på Proofpoint. De tilskriver angreb for at TA505, en cyberkriminalitet gruppe, der har lanceret nogle af de største cyber-angreb i løbet af de seneste år, såsom Dridex bank trojan og Locky ransomware. Gruppen har været aktiv siden i hvert fald 2014.
ServHelper kampagner begynde spamming ud phishing-e-mails. De meddelelser, der er grundlæggende, skal du blot bede potentielle ofre til at åbne dokumenter, der ofte hævdes at forholde sig til bankoverførsler. Men på grund af det store antal af sendte beskeder på en gang — titusinder af e-mails er fordelt på én gang — den angribere tilsyneladende mener, at de kan fange en betydelig del af brugerne, trods den grundlæggende karakter af phishing-angreb.
“TA505 har typisk ikke er ansat tung social engineering, bygger i stedet på volumen for at finde ud af intetanende ofre. Som sagt, den menneskelige nysgerrighed og vores aircondition til hurtigt at åbne e-mails og vedhæftede filer er ofte nok selv uden sofistikeret social engineering”,” Chris Dawson, threat intelligence føre til Proofpoint fortalte ZDNet.
En phishing-mail, der bruges til at distribuere malware.
Billede: Proofpoint
Dem, der kan åbne vedhæftede filer — og makroer — enable ServHelper til at blive installeret på maskinen. Forskere bemærk, at denne nye form for malware er aktivt ved at blive udviklet med nye kommandoer og funktionalitet tilføjet i næsten alle nye kampagne, da det først dukkede op.
Men ServHelper ‘ s primære funktion er uændret: det tjener som en bagdør til at gøre det muligt for angribere remote desktop adgang til kompromitteret enhed og gør det muligt for angribere at kapre brugerkonti og web-profiler-give dem med store dele af oplysninger om de inficerede offer.
Der er ikke enden af angrebet, men fordi ServHelper er i stand til at downloade og udførelse anden malware på kompromitterede PC — FlawedGrace.
FlawedGrace dukkede første gang op i en kort periode i November 2017, før de forsvandt, og kun dukker op som en del af ServHelper kampagne. Forskere peger på, at “en markant udvikling” har fundet sted på FlawedGrace, som er blevet bygget ved hjælp af objekt-orienteret og flertrådet programmering teknikker-en teknik, der er designet til at foretage reverse-engineering og analysere malware hårdere.
Fjernadgang trojan kapaciteter af FlawedGrace betyde, at det gør det muligt for angribere at få næsten fuld kontrol over en inficeret enhed. I betragtning af, hvordan kampagnen er målrettet banker og forhandlere, er det sandsynligt, at erhverve penge, er det ultimative mål for de angreb, være, at der gennem stjæle banking legitimationsoplysninger, eller ved hjælp af corporate legitimationsoplysninger til at få adgang til følsomme oplysninger, som kan sælges med fortjeneste.
SE: Hvad er malware? Alt, hvad du behøver at vide om virus, trojanske heste og ondsindede software
Det menes at ServHelper og FlawedGrace kampagne forbliver aktiv sammen med en anden TA505 trojan, malware kampagne, der opstod i slutningen af 2018. Gruppen bruges til at fokusere på ransomware, men har i stigende grad bevæget sig i retning af oplysninger stealers — og det er sandsynligt, at de har valgt at distribuere forskellige former for malware for at undgå afsløring og sikre maksimalt afkast.
“Gruppen har tilføjet en bred vifte af malware til deres værktøjskasse i årenes løb, med tilføjelser i 2018 med fokus på Rotter og læssemaskiner,” siger Dawson.
“Mens vi kan kun gisne om årsagerne til deres valg i malware, nye malware giver dem nye muligheder for at undgå opdagelse og skift, for eksempel, fra ransomware til finansrådet eller bankfolk til Rotter, med de deraf følgende muligheder for at følge med penge.”
Proofpoint har detaljerede oplysninger om Indikatorerne på Kompromis for ServHelper og FlawedGrace i deres analyse af malware.
LÆS MERE OM IT-KRIMINALITET
Hvordan en hacket bærbar førte til et helt netværk, der bliver kompromitteret
Ny ransomware kan forvandle din computer til et hacker-værktøj CNET
Hvordan læring fra hackere kan beskytte os mod cyber-angreb
Enkle måder at undgå malware på alle dine enheder, TechRepublic
Dobbelt besvær: To-strenget cyber-angreb inficerer ofre med data-stjæle trojan, malware, ransomware og
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0