Zero
Il NanoCore Remote Access Trojan (RATTO) è in fase di diffusione, attraverso documenti dannosi e utilizza una tecnica interessante per mantenere il suo processo di esecuzione e di evitare vittime manualmente uccidendo il sistema, dicono i ricercatori.
Il team di sicurezza informatica da Fortinet ha recentemente conquistato un campione relative alla diffusione di NanoCore RATTO nella forma di un dannoso documento di Microsoft Word.
Sviluppato nel .Net framework sotto un autore conosciuto come “Taylor Huddleston,” che il Trojan ha atterrato il suo operatore in carcere per spaccio di malware sul forum underground.
Mentre l’Arkansas uomo è dovuto a quasi tre anni di carcere, la sua eredità continua in libertà senza la sua influenza.
Il documento dannoso, “eml_-_PO20180921.doc” è diffuso attraverso campagne di phishing e contiene eseguibili dannosi, offuscato codice VBA che avvia il Trojan.
Se aperto, il documento contiene un avviso di sicurezza in alto a informare la vittima che le macro sono disabilitate, ma che dovrebbe individuale, fare clic su “attiva il contenuto”, il processo di infezione inizia.
Secondo Fortinet, lo NanoCore Trojan, nella sua ultima 1.2.2.0 versione, viene scaricato dal wwpdubai.com il dominio come parte di un .exe file che viene salvato in una cartella temporanea di Windows.
Vedi anche: la Polizia non può costringere a sbloccare il telefono da iris, il viso o il dito
Il file, CUVJN.exe chiamate un processo demone. Tuttavia, prima che questo processo inizia, il file eseguibile controllare per vedere se il processo è già esistente e se Avast antivirus è in esecuzione il software.
Se il sistema infetto passa i controlli, il codice verrà poi estrarre un archivio all’interno del file eseguibile e recuperare un file PE che è l’effettivo NanoCore RATTO.
Due processi possono essere in esecuzione in questa fase; Netprotocol.exe che è una copia di CUVJN.exe ed è il demone progettato per decomprimere NanoCore, a fianco di dll.exe che è molto interessante demone processo in sé.
Dll.exe è stato progettato per mantenere il Trojan in esecuzione. Il processo inizia netprotocol.exe, inietta NanoCore in memoria, e viene eseguito il codice. Uno dei corsi è chiamato “ProtectMe” con una funzione di “ProtectMe.Proteggere ()”, che impedisce che il processo di essere ucciso dalla vittima.
CNET: FCC Ajit Pai non soddisfano Congresso sul telefono-tracking scandalo
Durante il test, Fortinet ricercatori non poteva uccidere il netprotocol.exe processo, pur non essendo un servizio di sistema o contenenti privilegi superiori rispetto all’utente.
Si scopre che il processo utilizza una funzione chiamata ZwSetInformationProcess, da NTDLL.dll è in grado di modificare lo stato del processo e le impediscono di essere disabili.
“C’è una funzione denominata “RunPE.doIt ()”, che viene utilizzato per eseguire e proteggere il NanoCore RATTO client. Si chiama l’API CreateProcessA per iniziare una nuova “netprotocol.exe” e poi sospende,” dicono i ricercatori. “Avanti, alloca memoria nel nuovo “netprotocol.exe” e mette l’intero NanoCore nella memoria appena allocata utilizzando l’API WriteProcessMemory. Infine, modifica il punto di ingresso del filo contesto di NanoCore punto di ingresso e riprende NanoCore in esecuzione all’interno del secondo “netprotocol.exe” chiamando l’API ResumeThread.”
TechRepublic: Smart building falle di sicurezza lasciano le scuole, gli ospedali a rischio
Scoperto nel 2013, NanoCore è piuttosto brutto pezzo di malware che è in grado di eseguire una varietà di funzioni. Questi includono un keylogger, una password stealer che in remoto, da passare insieme di dati per il malware operatore, la possibilità di manomettere e visualizzare filmati dalla webcam, schermo di chiusura, il download e il furto dei file e altro ancora.
L’ultima versione del Trojan è stato rilasciato nel 2015 con plugin premium incluso, prima dell’arresto dell’operatore nel 2016.
Precedente e relativa copertura
GoDaddy rimuove JavaScript injection che traccia la performance del sito web, ma si potrebbe rompere troppo
Fortnite è utilizzato da criminali per riciclare il denaro attraverso il V-Bucks
Cryptopia cryptocurrency scambio tirato offline a causa di violazione della sicurezza
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0