La nuova variante del malware trojan mette le vostre informazioni personali a rischio
NanoCore RATTO può rubare le password, dettagli di pagamento, e segretamente registrare audio e video degli utenti di Windows.
Il Platino advanced persistent threat (APT) attacco di gruppo ha sviluppato un nuovo backdoor con interessanti tecniche di occultamento.
Platinum è stato rintracciato dal 2012 e in generale gli obiettivi di governo, i militari e obiettivi politici in tutta la regione APAC.
Negli ultimi anni, il gruppo di hacker si è legato all’utilizzo di nuove tecniche di attacco, quali l’abuso di una ormai obsoleta di funzionalità di Windows chiamato patch a caldo e fileless l’implementazione del codice, nonché la steganografia per nascondere Powershell e codice di exploit in testo normale.
Vedi anche: Facebook gode di rara corte vincere più di violazione della privacy, l’investitore sostiene
Un passato backdoor collegato a Platinum utilizza il testo della steganografia per nascondere comando e controllo (C2) di comunicazione. Ora, l’APT sembra aver aggiunto un nuovo backdoor, soprannominato Titanio, al suo arsenale.
Prende il nome da una password a uno dei suoi archivi, Titanio “nasconde ad ogni passo imitando il software di comuni” tra protezione-correlate, audio driver software, video e strumenti per la creazione, secondo i ricercatori di Kaspersky.
In attacco catene monitorati dal team Platinum distribuire Titanio come l’ultimo stadio dell’infezione.
CNET: il Laser può apparentemente hack Alexa, Google Home e Siri
Ogni esempio si trova coinvolto l’utilizzo di un exploit per l’esecuzione di codice come un sistema a livello di utente e shellcode per scaricare altri downloader. Platinum obiettivi winlogon.exe ma Kaspersky non so come l’iniezione si verifica.
La distribuzione di un archivio auto-estraente contenente una attività di Windows script di installazione è quindi in corso. Questo protetto da password, e criptata archivio scaricato tramite BIT Downloader, e il suo compito principale è quello di installare un Windows compito di mantenere la persistenza.
L’attacco catena e quindi coinvolgere il lancio di un ulteriore archivio contenente un installatore, un oggetto COM DLL, e il Titanio backdoor stesso. Il titanio percorsi tutti mascherarsi come un comune programma di installazione del software, come ad esempio per la creazione di DVD software o un driver audio, e la backdoor cerca poi di una connessione a C2, una volta eseguito.
Per stabilire una connessione con il suo C2, Titanio inviare una codifica base64 richiesta contenente un sistema di ID, nome del computer e il disco rigido del numero di serie.
TechRepublic: Hai malware: Dannoso attori sono in attesa nella vostra casella di posta
Quando il ping di C2 per i comandi, il malware sarà risposto con i file PNG contenente steganographically dati nascosti, contenente indicazioni per l’esecuzione di codice dannoso. I comandi possono includere la lettura dei file di sistema, l’eliminazione dei contenuti, l’eliminazione e l’esecuzione di file, in esecuzione della riga di comando di query e di inviare i risultati per la C2, e aggiornare le richieste di configurazione.
Kaspersky è a conoscenza di tutte le campagne attive al momento.
“Titanio APT ha un complicato schema di infiltrazione. Si prevede numerosi passaggi e richiede una buona coordinazione tra tutti loro. Inoltre, nessuno dei file nel file di sistema, può essere rilevato come dannoso a causa l’uso della crittografia e fileless tecnologie”, hanno detto i ricercatori. “Un’altra caratteristica che rende il rilevamento di più è il mimando di software ben noto.”
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati