En ny malware-kampagne rettet mod russiske højttalere ved hjælp af trusler om gæld og manglende betalinger for at narre ofre til at downloade og udførelse af en bank Trojan.
Det runde af angreb, som beskrevet af Palo Alto Netværks Enhed 42 security team, blev sporet i løbet af de sidste fire måneder af 2018.
Angrebsvektoren er bred og omfatter masse distribution af spam-og phishing-e-mails, snarere end valgt, målrettede angreb. De e-mails, der sendes, men brug et antal af linjer, der kan fremkalde panik eller frygt i intetanende ville-være ofre — truslen fra debitorer eller skyldige betalinger, en situation mange af os er bekendt med.
Disse emnelinjer omfatter “Gæld som følge af onsdag,” “Betaling Kontrol” og “Den pakke af dokumenter til betaling 1 oktober,” blandt andre finansielle emner.
Emnet overskrifter i konstant forandring, men forskerne siger, at de “alle har et fælles tema: de henviser til et dokument eller en fil til en påstået finansielle spørgsmål, modtageren har behov for at løse.”
“Disse budskaber er ofte vage, og de indeholder kun få oplysninger om den påståede økonomiske spørgsmål,” Unit 42 tilføjet. “Deres eneste mål er at narre modtageren til at åbne den vedhæftede arkiv og dobbeltklikke på den eksekverbare fil, der er indeholdt i.”
Fokus for kampagnen er at udbrede en bank Trojan er kendt som Redaman. Først opdaget i 2015, denne malware blev først kendt som RTM bank Trojan (.PDF).
Se også: Data sikkerhed er et vigtigt spørgsmål i overensstemmelse GDPR
Ved udførelsen af den eksekverbare fil, der indeholder den Trojan vil først at starte en scanning til at undersøge, om programmet kører i en sandbox-miljø, der almindeligvis anvendes af sikkerhedseksperter til at pakke malware prøver. Hvis malware afdækker filer eller mapper på en Windows-maskine, der tyder på, virtualisering eller sandboxing, den eksekverbare udgange.
Hvis målet maskine, der ligner legitime programmer, Windows eksekverbare vil falde en DLL-fil i PC ‘ en midlertidigt mappe, skal du oprette et tilfældigt navn i mappen ProgramData bibliotek, og skift DLL til denne mappe, er, igen, ved hjælp af en tilfældig fil navn.
Den Redaman DLL den skaber en planlagt Windows opgave, som udløser hver gang brugeren logger på maskinen for at opretholde vedholdenhed.
CNET: Kollegier efter sigende drop Huawei udstyr til at tilfredsstille Trump administration
Den malware bruger en krog system til at overvåge browsing aktivitet. Chrome, Firefox, og Internet Explorer er af særlig interesse for Redaman, som også vil søge den lokale vært for enhver oplysning relateret til bankvirksomhed eller finansiering.
Redaman ‘ s mål er at stjæle banking legitimationsoplysninger og andre data, der, når der sendes til den malware operatører, der kan bruges til at gå på kompromis konti og potentielt stjæle ofrets midler eller foretage identitetstyveri.
Den Trojan er også i stand til at hente yderligere filer til en inficeret host keylogging, fange skærmbilleder, optage video af en Windows-skrivebordet, ændre DNS-konfigurationer, stjæle data i udklipsholder, opsige kørende processer, og tilføje certifikater til Windows store.
TechRepublic: Hackere er stadig ved hjælp af cloud-tjenester til at maskere angreb oprindelse og opbygge falske tillid
Spam-meddelelser, der anvendes til at sprede Redaman har vedhæftede filer, som Windows eksekverbare filer forklædt som .PDF-dokumenter, eller sendes som .zip og 7-zip .rar -,, eller .gz gzip-arkiv.
Russisk modtagere er de vigtigste at fokusere på nuværende tidspunkt; men, personer i USA, Holland, Sverige, Japan, Khazakstan, Finland, Tyskland, Østrig og Spanien er også ved at blive rettet.
Palo Alto forventer at se nye prøver af Redaman vises i naturen i løbet af de kommende år.
Tidligere og relaterede dækning
Himmel Gå app sikkerhed fejl udsætter kunderne for spionage, tyveri af data
OpenBMC fanget med ‘pantsdown’ over nyt sikkerhedshul
Adobe frigiver tredje patch opdatering af den måned, squash scripting fejl
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre