för Zero Day
| November 15, 2019 — 13:17 GMT (13:17 GMT)
| Ämne: Säkerhet
Ny variant av trojan malware sätter din personliga information på risk
NanoCore RÅTTA kan stjäla lösenord, betalningsuppgifter, och i hemlighet spela in ljud och video för Windows-användare.
En ny skadlig kod variant med en låg träffsäkerhet kunna leverera flera Trojaner på infekterade system har lämnats av forskare.
Denna vecka, it-team på Fortinet sade en nyligen urval av pipetten avslöjar nya skadliga program är designade för att släppa både RevengeRAT och WSHRAT på utsatta Windows-system.
Provet dropper börjar infektion processen med JavaScript-kod och URL-kodade informationen i en text-editor. När avkodas teamet fick VBScript förvanskat med karaktär ersättare.
Detta VBScript-kod är då kunna ringa ett Skal.Ansökan objekt för att skapa en ny skript-fil, A6p.vbs, som hämtar en nyttolast — en extra VBScript-från en extern källa.
Strängarna i den nya koden, som också är krypterat i en trolig försök att undvika upptäckt, dra en script fil som heter Microsoft.vbs för från en fjärransluten server och sparas i Windows temporära katalog.
“När ovan nämnda kod exekveras, det skapar en ny WScript.Shell föremål och samlar OS miljö och hårdkodad data, som så småningom kommer att sluta i att köra den nyskapade script (GXxdZDvzyH.vbs) genom att ringa VBScript tolk med “//B” – parametern,” forskarna säger. “Detta gör det möjligt för “batch-läge” och inaktiverar eventuella varningar eller varningar som kan uppstå under körningen.”
En ny nyckel läggs då till i Windows-registret, PowerShell-kommandon utförs för att kringgå riktlinjer för utförandet, och Hämnd RÅTTA nyttolast är utplacerade.
Se även: DanaBot bank Trojan hoppar från Australien till Tyskland i jakten på nya mål
Hämnd RÅTTA är en Trojan har anslutit till tidigare kampanjer som är inriktade på finansiella inrättningar, myndigheter och IT-företag.
När utnyttjas av ny skadlig kod dropper, Hämnd RÅTTA ansluter till två kommando-och-kontroll (C2) – servrar och hämtar systemet data från offret innan överföra denna information till C2s.
IP-adresser, volym data, maskin namn, användarnamn, huruvida eller inte en webbkamera har upptäckts, CPU data, språk, och information om antivirusprogram och brandvägg anläggningar är stulen.
Trojanen kan ta emot kommandon från en C2 för att överföra skadlig ASM-kod i minnet för ytterligare exploateringar.
Men införandet av en Trojan är inte slutet av attacken kedja. Malware dropper utför även WSH RÅTTA som en nyttolast, med samma Microsoft.vbs-skript — med ett par tweaks.
WSH RÅTTA är ofta aktivt sprids i phishing-meddelanden som maskerats som välkända banker. Den Trojanska säljs offentligt på nätet på ett abonnemang för att hotet aktörer.
CNET: Demonstranter scan offentliga ansikten i DC för att visa brist på ansiktsigenkänning lagar
Version 1.6 av WSH RÅTTA är laddad och detta malware innehåller mer funktionalitet än sin motpart, inklusive metoder för att upprätthålla uthållighet, data stöld, och bearbetning av information.
Bland 29 funktioner är möjligheten att kontrollera den aktuella användarens rättigheter, och “beroende på vilken som används, kommer den att förbli som den är, eller lyfta sig själv (startupElevate()) till en högre användaren tillgång nivå,” säger forskarna.
Den Trojanska kommer också att utföra en säkerhetskontroll för att inaktivera den nuvarande säkerheten sammanhang.
TechRepublic: Nya phishing e-kampanj efterliknar US postal service för att leverera malware
WSH RÅTTA fokuserar på att stjäla information som skördats från populära webbläsare som Google Chrome och Mozilla Firefox. Men det skadliga programmet innehåller också andra funktioner, såsom verkställande filer, starta om offrets dator, genom att avinstallera program, och keylogging.
Lägg också märke till att i malware utrymme för denna månad är framväxten av Emotet med ny funktionalitet. Den modulära sabotageprogram, som har visat sig vara populär bland cyberbrottslingar, som nu verkar vara att använda stealth taktik när anställd av Trickbot.
Tidigare och relaterade täckning
Emotet resurgence pack i nya binärer, Trickbot funktioner
Denna enorma Android-trojan malware kampanj upptäcktes efter att gänget bakom det gjort grundläggande säkerhet misstag
Nya Saefko Trojan fokuserar på att stjäla dina kreditkortsuppgifter, crypto plånböcker
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 15, 2019 — 13:17 GMT (13:17 GMT)
| Ämne: Säkerhet