Zero
Un ben attrezzato e prolifico gruppo di hacker è la distribuzione di un nuovo ceppo di malware che fornisce agli hacker remoto di accedere al desktop, come parte di un servizio d’informazione per il furto di campagna prendendo di mira banche, rivenditori e aziende.
ServHelper malware è attivo dal mese di novembre dello scorso anno e installa una backdoor sul Pc Windows, fornendo agli aggressori remoti di accedere a macchine compromesse. Ma che non è dove l’attacco si conclude: ServHelper agisce anche come un downloader per FlawedGrace, una famiglia di malware trojan apparso per la prima volta nel novembre del 2017, ed è descritta come una “full-optional” Remote Access Trojan.
Il combinato ServHelper e FlawedGrace campagna è stato dettagliato da ricercatori Proofpoint. Essi attribuiscono gli attacchi di TA505, un gruppo sportivo che ha lanciato alcuni dei più grandi attacchi informatici degli ultimi anni, come il Dridex i trojan bancari e Locky ransomware. Il gruppo è stato attivo almeno dal 2014.
ServHelper campagne di iniziare da spam e-mail di phishing. I messaggi sono di base, semplicemente chiedendo a potenziali vittime per aprire i documenti, spesso sostenuto di relazionarsi con bonifici bancari. Tuttavia, a causa dell’enorme numero di messaggi inviati in un momento, decine di migliaia di messaggi di posta elettronica sono distribuiti in una volta, gli attaccanti apparentemente credono di poter prendere una percentuale significativa di utenti, nonostante la natura di base di attacchi di phishing.
“TA505 ha, in genere, non impiegato pesante di ingegneria sociale, basandosi invece su volumi di trovare vittime inconsapevoli. Detto questo, la curiosità umana e la nostra condizionata per aprire velocemente i messaggi e gli allegati sono spesso anche senza sofisticate di ingegneria sociale,” Chris Dawson, threat intelligence portare a Proofpoint detto a ZDNet.
E-mail di phishing utilizzato per distribuire malware.
Immagine: Proofpoint
Chi apre gli allegati — e attivare le macro — enable ServHelper per essere installato sulla macchina. I ricercatori di notare che questa nuova forma di malware è attivamente sviluppato, con nuovi comandi e funzionalità aggiunte in quasi ogni nuova campagna dalla sua prima comparsa.
Ma ServHelper funzione primaria è rimasta invariata: esso serve come una backdoor per consentire ad aggressori remoti di accedere al desktop al dispositivo compromesso e consente a un utente malintenzionato di assumere il controllo account utente e profili web — fornendo loro vaste distese di informazioni su infetto vittima.
Che non è la fine dell’attacco, tuttavia, a causa ServHelper è capace di effettuare il download e l’esecuzione di un altro malware sul PC compromesso — FlawedGrace.
FlawedGrace apparso per un breve periodo nel mese di novembre 2017, prima di sparire e solo ri-emergenti come parte del ServHelper campagna. I ricercatori suggeriscono che “significativo sviluppo” ha avuto luogo il FlawedGrace, che è stato costruito utilizzando object-oriented e della programmazione multithread tecniche — una tecnica che consiste nel fare il reverse-engineering e analisi di malware più difficile.
Il remote access trojan capacità di FlawedGrace media permette agli hacker di ottenere quasi il pieno controllo su un dispositivo infetto. Dato come la campagna si rivolge a banche e rivenditori, è probabile che l’acquisizione di denaro è l’obiettivo finale di attacchi, che attraverso rubare le credenziali bancarie, o utilizzando le credenziali aziendali per ottenere l’accesso a informazioni sensibili che possono essere scambiati in per il profitto.
VEDERE: che Cosa è il malware? Tutto quello che devi sapere su virus, trojan e malware
Si ritiene che la ServHelper e FlawedGrace campagna rimane attivo a fianco di un altro TA505 trojan campagna di malware che è emerso a fine 2018. Il gruppo ha usato per concentrarsi sulle ransomware, ma si è spostato sempre più verso informazioni stealer-ed è probabile che hanno optato per la distribuzione di diverse forme di malware per evitare il rilevamento e garantire il massimo rendimento.
“Il gruppo ha aggiunto una varietà di malware per loro toolkit negli anni, con aggiunte nel 2018 di messa a fuoco su Ratti e caricatori”, ha detto Dawson.
“Mentre noi possiamo solo speculare sul ragionamento che sta dietro le loro scelte in termini di malware, il nuovo malware dà nuove opportunità per evitare il rilevamento e shift, per esempio, da ransomware i banchieri o i banchieri di Ratti, con l’accompagnamento opportunità di seguire il denaro.”
Proofpoint dispone di informazioni dettagliate circa gli Indicatori di Compromesso per ServHelper e FlawedGrace nella loro analisi del malware.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Come uno hacked portatile led per un’intera rete, di essere compromessa
Nuovo ransomware può trasformare il vostro computer in un hacker strumento di CNET
Come l’apprendimento da parte di hacker possono proteggerci dagli attacchi informatici
Semplici modi per evitare malware su tutti i tuoi dispositivi TechRepublic
Double trouble: duplice attacco informatico infetta le vittime di data-stealing trojan malware e ransomware
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0