per Zero-Day
| 15 novembre 2019 — 13:17 GMT (13:17 GMT)
| Argomento: Sicurezza
La nuova variante del malware trojan mette le vostre informazioni personali a rischio
NanoCore RATTO può rubare le password, dettagli di pagamento, e segretamente registrare audio e video degli utenti di Windows.
Un nuovo malware variante con un basso tasso di rilevamento in grado di fornire più cavalli di troia per sistemi infetti sono stati comunicati dai ricercatori.
Questa settimana, il team di sicurezza informatica a Fortinet ha detto in una recente campione del contagocce rivela il nuovo malware è stato progettato per cadere entrambi RevengeRAT e WSHRAT vulnerabili i sistemi Windows.
Il campione contagocce inizia il processo di infezione con codice JavaScript e URL-encoded informazioni contenute in un editor di testo. Una volta decodificato, il team ha scoperto VBScript offuscato con carattere di sostituzioni.
Questo codice VBScript è quindi in grado di chiamare una Shell.Oggetto dell’applicazione che genera un nuovo file di script, A6p.vbs, che recupera un payload — un ulteriore VBScript — da una fonte esterna.
Le stringhe nel nuovo codice, che sono anche offuscato in un probabile tentativo di evitare il rilevamento, tirare un file di script chiamato Microsoft.vbs da un server remoto e lo salva nella cartella temporanea di Windows.
“Una volta che il predetto codice è eseguito, crea un nuovo WScript.Oggetto Shell e raccoglie OS ambiente e hardcoded dati, che alla fine fine in esecuzione lo script appena creato (GXxdZDvzyH.vbs) chiamando il VBScript interprete con “//B” parametro”, hanno detto i ricercatori. “Questo consente di “batch mode” e disabilita qualsiasi potenziale avvisi o allarmi che possono verificarsi durante l’esecuzione.”
Una nuova chiave viene quindi aggiunto al registro di sistema di Windows PowerShell vengono eseguiti i comandi per bypassare i criteri di esecuzione e la Vendetta di RATTO carico è distribuito.
Vedi anche: DanaBot Trojan bancario salti dall’Australia alla Germania, alla ricerca di nuovi obiettivi
La vendetta di RATTO è un Trojan collegato in precedenza, campagne di istituti finanziari, governi e aziende.
Una volta distribuito il nuovo malware contagocce, la Vendetta di RATTO si collega a due di comando e controllo (C2) server e raccoglie i dati di sistema da parte della vittima prima di trasferire queste informazioni a C2s.
Gli indirizzi IP, il volume di dati, nomi, nomi utente, se non una webcam è stato rilevato, dati della CPU, la lingua, e le informazioni relative ai prodotti antivirus e firewall impianti sono stati rubati.
Il Trojan è anche in grado di ricevere comandi da un C2 a carico dannoso codice ASM in memoria per ulteriori exploit.
Tuttavia, la distribuzione di un Trojan non è la fine dell’attacco a catena. Il malware contagocce, inoltre, esegue WSH RATTO come un payload, utilizzando la stessa Microsoft.vbs script — con un paio di modifiche.
WSH RATTO è spesso distribuito attivamente in messaggi di phishing che si presenta come noto banche. Il Trojan viene venduto pubblicamente online su abbonamento alla minaccia attori.
CNET: Manifestanti scansione del volto pubblico in CC per mostrare la mancanza di riconoscimento facciale leggi
La versione 1.6 di WSH RATTO è caricato e questo malware contiene più funzionalità rispetto al suo omologo; compresi i metodi per mantenere la persistenza, il furto di dati e di elaborazione delle informazioni.
Tra 29 funzioni è la possibilità di verificare la corrente dei diritti dell’utente, e “, a seconda di quelli che sono utilizzati, resterà come è o di elevare se stesso (startupElevate()) ad un più alto livello di accesso utente,” dicono i ricercatori.
Il Trojan si esibirà anche un controllo di sicurezza per disattivare l’attuale contesto di sicurezza.
TechRepublic: Nuova e-mail di phishing campagna rappresenta US postal service per distribuire malware
WSH RATTO si concentra sul furto delle informazioni raccolte dai browser più diffusi, tra cui Google Chrome e Mozilla Firefox. Tuttavia, il malware contiene anche altre caratteristiche, come ad esempio l’esecuzione di file, al riavvio la vittima macchina, la disinstallazione di programmi, e di keylogging.
Da notare anche il malware spazio di questo mese è l’emergere di Emotet con nuove funzionalità. Il sistema modulare di malware, che si è dimostrato popolare con i criminali informatici, ora sembra essere utilizzando tattiche stealth, una volta impiegato da Trickbot.
Precedente e relativa copertura
Emotet resurgence pack in nuovi binari, Trickbot funzioni
Questo enorme trojan Android campagna di malware è stato scoperto dopo la gang ha fatto di sicurezza di base degli errori
Nuovo Saefko Trojan si concentra sulla rubare i vostri dati della carta di credito, portafogli crypto
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 15 novembre 2019 — 13:17 GMT (13:17 GMT)
| Argomento: Sicurezza