En scanner-app, med 100 millioner downloads begynder at levere malware
En Android Google play app, som er tilgængelig siden 2010, har for nylig begyndt at installere malware.
En ny variant af PsiXBot, malware, der er konfigureret for tyveri af information og cryptocurrency, er blevet spottet i naturen, som misbrug Google ‘ s DNS-over HTTPS service.
PsiXBot er en forholdsvis ny stamme af malware, der først er blevet opdaget i 2017. Skrevet i .NET, den ondsindede kode, har undergået en række ændringer og udviklinger, og i henhold til Proofpoint forskere, den seneste opgradering indeholder nogle meget interessante ændringer.
Den malware, der leveres via spam-kampagner, og som en nyttelast i Spleevo og RIG-v exploit kits, mål brugere, så længe de ikke er russisk sprog højttalere.
PsiXBot tidligere har været tilsluttet .bit-domæner, der er forbundet med NameCoin cryptocurrency, som kræver særlig DNS-server-indstillinger. Den malware, der også bruger hex-kodet tiny.cc links til at udføre DNS-anmodninger for en separat kommando-og-kontrol (C2) – servere, der sender infektion kommandoer, der begynder med et system check.
Hvis en maskine, der anses for egnet for infektion, malware moduler er gennemført, herunder et password stealer, cookie stealer, keylogger, og en proces, der overvåger udklipsholderen til de legitimationsoplysninger, der bruges til tegnebøger for cryptocurrency som Bitcoin, Etherium, Monero, og Ripple.
Se også: Telnet bagdør sårbarheder indflydelse over en million tingenes internet radio enheder
PsiXBot er også i stand til at få fat i oplysninger, der indsendes til online-formularer, sende udgående spam via Microsoft Outlook fra ofrets e-mail adresse, skjulte slette alle spor af ondsindede e-mails, der sendes, og kan fjerne sig selv fra et inficeret system.
I et blog-indlæg i sidste uge, Proofpoint sagde malware omfatter nu flere nye funktioner. Især den seneste version — v. 1.0.3 — omfatter indførelse af Google ‘ s DNS via HTTPS (DoH), en protokol, der pakker DNS-forespørgsler, som er krypteret HTTPS trafik snarere end alm.
Nogle prøver at fungere som nyttelast i exploit kits udnytte den nye teknik, hvor hardcodede C2 domæner er løst med DoH.
“Ved at bruge Google’ s DoH service, det giver angribere mulighed for at skjule DNS-forespørgsel til C&C domæne bag HTTPS,” Proofpoint siger. “Medmindre SSL/TLS er ved at blive inspiceret af Manden i Midten (MitM), DNS-forespørgsler til C&C server vil gå ubemærket hen.”
CNET: 7 Android VPN-apps, som du bør aldrig bruge på grund af deres synder privatliv
Hertil kommer, at nye prøver har også afsløret et skift i infrastruktur til Fast Flux, en metode til ændring af DNS-poster ved hjælp af kompromitterede vært netværk. Denne struktur er blevet fundet i C2 domæne svar, både via standard DNS-forespørgsler og DoH.
PsiXBot er også blevet udstyret med et nyt angreb modul. Kodet som “PornModule,” den software, der er mest sandsynligt, der anvendes til sexploitation. Forskerne siger, at PornModule vil overvåge åbne vinduer og sammenligner søgeord til en liste, der er gemt i en ordbog-format. Hvis kampe er fundet, malware vil begynde at optage lyd og visuel information.
Bevæbnet med disse optagelser, er det muligt at malware er erhvervsdrivende kunne derefter forsøge at presse og afpresning ofre.
TechRepublic: Top 5 password alternativer
Malware er i stand til at opretholde vedholdenhed, presse ofrene, og stjæle en række informationer, herunder data, der er relateret til det lukrative cryptocurrency industri — er i varmt efterspørgsel, og som sådan, vi kan forvente PsiXBot operatører, til at fortsætte med at finpudse deres skabelse.
“Denne malware er under aktiv udvikling og fortsætter med at udvikle sig,” Proofpoint siger. “Ved at udvide de funktioner af de inkluderede moduler og den samlede kapacitet af denne malware, skuespiller eller holdet bag dens udvikling ser ud til at være at søge funktion paritet med andre lignende malware på markedet.”
Tidligere og relaterede dækning
Cybersecurity: 99% af e-mail-angreb stole på ofrene at klikke på links
Ondsindede Android-apps, der indeholder Joker malware, butik, på Google Play
Nyligt opdagede cyber-spionage malware misbrug Windows BITS-tjenesten
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre