Un app scanner con 100 milioni di download inizia a distribuire malware
Android e Google play app, disponibile dal 2010, ha recentemente iniziato l’installazione di malware.
Una nuova variante di PsiXBot, malware configurato per il furto di informazioni e di cryptocurrency, è stata avvistata in natura, che abusi di Google DNS su HTTPS servizio.
PsiXBot è un relativamente nuovo ceppo di malware, non prima di aver scoperto nel 2017. Scritto in .NET, il codice maligno ha subito un array di cambiamenti ed evoluzioni, e secondo Proofpoint ricercatori, l’ultimo aggiornamento include alcune interessanti modifiche.
Il malware, realizzata per mezzo di campagne di spam e come payload del Spleevo e RIG-v kit di exploit, si rivolge agli utenti fintanto che non sono di lingua russa altoparlanti.
PsiXBot sono già stati collegati a .bit domini associati con la NameCoin cryptocurrency, che richiede particolari impostazioni del server DNS. Inoltre, il malware utilizza hex-coded tiny.cc link per eseguire le richieste DNS di comando e controllo (C2) i server che invia infezione i comandi che iniziano con un sistema di controllo.
Se una macchina è considerata adeguata per infezione malware di esecuzione dei moduli, tra cui una password stealer, cookie stealer, keylogger e un processo che monitora gli appunti per le credenziali utilizzate per il portafogli per cryptocurrency come Bitcoin, Etherium, Monero, e Ondulazione.
Vedi anche: Telnet backdoor vulnerabilità impatto oltre un milione di IoT dispositivi radio
PsiXBot è anche in grado di afferrare le informazioni presentate di moduli online, inviare i messaggi di spam tramite Microsoft Outlook dalla vittima indirizzo e-mail, segretamente cancellare ogni traccia di malware e-mail inviate, e rimuovere da un sistema infetto.
In un post sul blog, la settimana scorsa, Proofpoint ha detto che il malware ora include diverse nuove funzionalità. In particolare, la versione più recente — v. 1.0.3 — include l’introduzione di Google DNS su HTTPS (DoH), di servizio, di un protocollo che i pacchetti DNS query come crittografare il traffico HTTPS piuttosto che chiaro.
Alcuni esempi di come agiscono i carichi in kit di exploit di utilizzare la nuova tecnica, in cui hardcoded C2 domini si sono risolti con DoH.
“Utilizzando Google DoH servizio, consente agli aggressori di nascondere la query al DNS C&C di dominio dietro HTTPS,” Proofpoint, dice. “A meno che non SSL/TLS è stato ispezionato da Man in the Middle (MitM), le query DNS per il server C&C passerà inosservata.”
CNET: 7 VPN Android apps non si dovrebbe mai usare a causa della loro privacy peccati
Inoltre, i nuovi campioni hanno rivelato anche un turno in infrastrutture per Fast Flux, un metodo per cambiare i DNS utilizzando host compromesso reti. Questa struttura è stato trovato nel dominio C2 risposte, sia attraverso lo standard query DNS e DoH.
PsiXBot è stato anche dotato di un nuovo attacco di modulo. Codificati come “PornModule,” il software è probabilmente utilizzata per sexploitation. I ricercatori dicono che PornModule di monitorare le finestre aperte e confronta le parole chiave per una lista memorizzata in un dizionario in formato. Se vengono trovate corrispondenze, il malware inizia a registrare informazioni audio e video.
Armati di queste registrazioni, è possibile che il malware operatori potrebbero, quindi, il tentativo di estorsione e ricatto vittime.
TechRepublic: Top 5 password alternative
Il Malware in grado di mantenere la persistenza, estorcere vittime, e rubare una varietà di informazioni-inclusi i dati relativi al lucroso cryptocurrency settore, è in caldo la domanda e, come tale, ci si può aspettare PsiXBot operatori di continuare ad affinare la loro creazione.
“Questo malware è in fase di sviluppo attivo e in continua evoluzione,” Proofpoint, dice. “Espandere il set di funzionalità incluse in moduli e in generale la capacità di questo malware, l’attore o il team dietro il suo sviluppo sembra essere alla ricerca di funzionalità di parità con altri malware simile sul mercato.”
Precedente e relativa copertura
Sicurezza informatica: il 99% degli attacchi e-mail contare su vittime, fare clic su un link
Dannoso applicazioni Android contenente Joker malware negozio su Google Play
Appena scoperto il cyber-spionaggio malware abusi servizio BITS di Windows
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati