Een nieuwe malware-campagne gericht op russisch sprekers is met de bedreigingen van de schulden en achterstallige betalingen te dupe van slachtoffers in het downloaden en uitvoeren van een banking Trojan.
De ronde van aanvallen, zoals beschreven door Palo Alto Netwerk van de Eenheid van 42 security team, werd bijgehouden over de laatste vier maanden van 2018.
De aanval is breed en omvat de massale verspreiding van spam en phishing e-mails in plaats geselecteerd, gerichte aanvallen. De verzonden e-mail, echter, een aantal van onderwerpregels die ertoe zouden kunnen brengen paniek of angst in nietsvermoedende zou worden slachtoffers — de dreiging van debiteuren of betalingen verschuldigd zijn, een situatie die velen van ons zijn vertrouwd met.
Deze onderwerpregels zijn Schuld te wijten woensdag,” “Betaling Verificatie” en “Het pakket van de documenten voor de betaling 1 oktober,” onder andere financiële onderwerpen.
Het onderwerp headers veranderen voortdurend, maar de onderzoekers zeggen dat ze ‘ alle hebben een gemeenschappelijk thema: ze verwijzen naar een document of bestand voor een vermeende financiële probleem van de ontvanger moet oplossen.”
“Deze berichten zijn vaak vaag, en ze bevatten weinig details over de vermeende financiële kwestie”, Unit 42 toegevoegd. “Hun enige doel is om de truc van de ontvanger in het openen van de bijgevoegde archief en dubbelklik op het uitvoerbare vervat in.”
De focus van de campagne is het verspreiden van een banking Trojan bekend als Redaman. Voor het eerst ontdekt in 2015, deze malware werd eerst bekend als de RTM-banking Trojan (.PDF).
Zie ook: beveiliging van de Gegevens is een belangrijke kwestie in de GDPR compliance
Bij de uitvoering, het uitvoerbare bestand met de Trojan de eerste lancering van een scan om vast te stellen of het programma wordt uitgevoerd in een sandbox-omgeving, vaak gebruikt door de onderzoekers van de veiligheid uit te pakken malware samples. Als de malware ontdekt u bestanden of mappen op een Windows machine die suggereert virtualisatie of sandboxing, de uitvoerbare uitgangen.
Als de doelcomputer lijkt legitiem, de uitvoerbare zal neerzetten van een DLL-bestand van de PC tijdelijke map is, maakt u een willekeurige naam map in de map ProgramData, en verschuiving van het DLL-bestand naar deze map, opnieuw, met een willekeurige bestandsnaam wordt gemaakt.
De Redaman DLL-het maakt een geplande Windows taak die wordt elke keer dat de gebruiker inlogt op de machine om het handhaven van persistentie.
CNET: Hogescholen naar verluidt drop Huawei apparatuur te sussen Trump administratie
De malware maakt gebruik van een haak systeem te controleren surfen activiteit. Chrome, Firefox en Internet Explorer zijn van bijzonder belang voor Redaman, die zal ook zoeken op de lokale host voor alle informatie met betrekking tot bank-of financiën.
Redaman ‘ s doel is om te stelen van bank-referenties en andere gegevens die, eenmaal verzonden naar de malware-exploitanten kunnen worden gebruikt om een compromis accounts en mogelijk stelen van het slachtoffer vermogen of gedrag, diefstal van identiteit.
De Trojan kan ook extra bestanden te downloaden naar een besmette gastheer, gebruik keylogging, screenshots, video opnemen van een Windows bureaublad-sessie, wijzigen DNS-configuraties, stelen klembord gegevens, beëindigen van lopende processen, en certificaten toevoegen aan de Windows store.
TechRepublic: Hackers zijn nog steeds gebruik van cloud-diensten om een masker aanval oorsprong en het bouwen van valse vertrouwen
De spam-berichten gebruikt om te verspreiden Redaman hebben bestandsbijlagen die uitvoerbare bestanden voor Windows vermomd als .PDF-documenten of verzonden .zip, 7-zip .rar -, of .gz gzip archieven.
Russische ontvangers zijn de belangrijkste focus op het heden; echter, personen in de VS, Nederland, Zweden, Japan, Khazakstan, Finland, Duitsland, Oostenrijk en Spanje zijn ook doelwit.
Palo Alto verwacht dat de nieuwe monsters van Redaman verschijnen in het wild in het komende jaar.
Vorige en aanverwante dekking
Sky Go app beveiliging niet bloot klanten te spionage, diefstal van gegevens
OpenBMC gevangen met ‘pantsdown’ over nieuwe lek
Adobe kondigt de derde patch update van de maand om squash scripting bugs
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters