for Nul-Dag
| November 15, 2019 — 13:17 GMT (13:17 GMT)
| Emne: Sikkerhed
Ny variant af trojan, malware og sætter dine personlige oplysninger i fare
NanoCore ROTTE kan stjæle passwords, betalingsoplysninger, og hemmeligt at optage lyd og video med Windows-brugere.
En ny malware-variant med en lav opdagelse i stand til at levere flere Trojanske heste til inficerede systemer, som er blevet offentliggjort af forskere.
I denne uge, cybersecurity team på Fortinet sagde en nylig udsnit af de dropper afslører den nye malware er designet til at droppe både RevengeRAT og WSHRAT på sårbare Windows-systemer.
Prøven dropper begynder infektion proces med JavaScript-kode og URL-kodet information, der er indeholdt i en tekst editor. Når afkodes, holdet fandt, VBScript uklar med karakter udskiftninger.
Dette VBScript-kode er derefter i stand til at kalde en Shell.Ansøgning objekt, der genererer et nyt script-fil, A6p.vbs, som henter en nyttelast — en ekstra VBScript-fra en ekstern kilde.
Den strenge i den nye kode, som også er uklar i en sandsynligvis forsøg på at undgå afsløring, trække en script-fil, der hedder Microsoft.vbs fra en ekstern server og gemmer det i Windows midlertidige mappe.
“Når ovennævnte kode er gennemført, skaber det en ny WScript.Shell genstand og samler OS miljø og kodede data, som i sidste ende vil ende i kører den nyoprettede script (GXxdZDvzyH.vbs) ved at kalde VBScript tolk med “//B” parameter,” siger forskerne. “Dette gør det muligt for “batch-mode” og deaktiverer eventuelle advarsler eller alarmer, der kan opstå under udførelse.”
En ny nøgle er så tilføjet i Windows-registreringsdatabasen, PowerShell kommandoer udføres for at omgå udførelse af politikker, og Hævn ROTTE nyttelasten er indsat.
Se også: DanaBot banking Trojanske springer fra Australien til Tyskland i søgen efter nye mål
Hævn ROTTE er en Trojansk tidligere har oprettet forbindelse til kampagner, der er rettet mod finansielle virksomheder, regeringer, og IT-virksomheder.
Når indsat af nye malware-dropper, Hævn ROTTE opretter forbindelse til to kommando-og-kontrol (C2) – servere og indsamler data fra offeret før at overføre denne information til C2s.
IP-adresser, mængden af data, maskine navne, brugernavne, hvorvidt eller ikke et webcam er blevet opdaget, CPU data, sprog og oplysninger om antivirus produkter og firewall-anlæg, der er stjålet.
Den Trojan er også i stand til at modtage kommandoer fra C2 til at indlæse ondsindede ASM kode i hukommelsen for yderligere udnyttelse.
Men indsættelsen af en Trojan er ikke slutningen af angreb kæde. Den malware dropper udfører også WSH ROTTE som en belastning, ved hjælp af Microsoft.vbs script — med et par tweaks.
WSH ROTTE er ofte aktivt distribueres i phishing-meddelelser maskeret som kendte banker. Den Trojanske hest, der sælges offentligt online på abonnementsbasis, at truslen aktører.
CNET: Demonstranter scan offentlige ansigter i DC for at vise mangel på facial anerkendelse love
Version 1.6 af WSH ROTTE er indlæst, og denne malware indeholder mere funktionalitet end sin modpart, herunder metoder til at opretholde vedvarende, tyveri af data og behandling af oplysninger.
Blandt 29 funktioner, er muligheden for at se den aktuelle brugers rettigheder, og “afhængigt af, hvilke der er anvendt, vil det forblive som den er eller ophøje sig selv (startupElevate()) til en højere brugeradgang niveau,” siger forskerne.
Den Trojan vil også udføre en sikkerheds-check til at deaktivere den aktuelle sikkerhedskontekst.
TechRepublic: Nye phishing-e-mail kampagne, der efterligner OS postvæsen til at levere malware
WSH ROTTE fokuserer på at stjæle oplysninger, der er høstet fra den populære browsere, herunder Google Chrome og Mozilla Firefox. Men den malware indeholder også andre funktioner, så som at køre filer, genstart offerets maskine, afinstallere programmer, og keylogging.
Også at bemærke i den malware plads i denne måned er fremkomsten af Emotet med ny funktionalitet. Den modulære malware, som har vist sig populære blandt it-kriminelle, ser nu ud til at være at udnytte stealth taktik, når der er ansat af Trickbot.
Tidligere og relaterede dækning
Emotet genopblussen pakker i nye binære filer, Trickbot funktioner
Denne enorme Android-malware, trojanske kampagne blev opdaget efter banden bag det gjorde de grundlæggende sikkerheds fejl
Nye Saefko Trojan fokuserer på at stjæle dine kreditkortoplysninger, crypto tegnebøger
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 15, 2019 — 13:17 GMT (13:17 GMT)
| Emne: Sikkerhed