voor Zero Day
| 15 November 2019 — 13:17 GMT (13:17 GMT)
| Onderwerp: Security
De nieuwe variant van de trojan malware zet uw persoonlijke gegevens in gevaar
NanoCore RAT kan stelen van wachtwoorden, betalingsgegevens, en in het geheim opnemen van audio en video van Windows-gebruikers.
Een nieuwe malware variant met een lage detectie tarief kunnen leveren meerdere Trojaanse paarden geïnfecteerde systemen is bekend gemaakt door de onderzoekers.
Deze week, de cybersecurity team bij Fortinet, aldus een recente steekproef van de druppelaar onthult de nieuwe malware is ontworpen om te vallen beide RevengeRAT en WSHRAT op kwetsbare Windows systemen.
Het monster druppelaar begint de infectie proces met JavaScript-code en URL-gecodeerde informatie in een tekst-editor. Zodra gedecodeerd, het team vond VBScript obfuscated met karakter te vervangen.
Dit VBScript-code is dan in staat om te bellen met een Shell.Application-object dat genereert een nieuw script bestand, A6p.vbs, die haalt een lading — een extra VBScript — van een externe bron.
De snaren in de nieuwe code, die ook obfuscated in een waarschijnlijk proberen detectie te vermijden, trekt u een script bestand met de naam Microsoft.vbs van een externe server en slaat deze op in de tijdelijke map van Windows.
“Zodra de voormelde code wordt uitgevoerd, creëert het een nieuwe WScript.Shell object en verzamelt omgeving van het OS en de geprogrammeerde gegevens, die uiteindelijk zal eindigen in het uitvoeren van de nieuw aangemaakte script (GXxdZDvzyH.vbs) door te bellen met de VBScript-tolk met de “//B” parameter,” zeggen de onderzoekers. “We kunnen de “batch mode” en zet alle mogelijke waarschuwingen die kunnen optreden tijdens de uitvoering.”
Een nieuwe sleutel wordt vervolgens toegevoegd aan het register van Windows PowerShell commando ‘ s worden uitgevoerd om een bypass om de uitvoering van beleid, en de Wraak RAT laadvermogen is ingezet.
Zie ook: DanaBot banking Trojan sprongen van Australië tot Duitsland in de zoektocht naar nieuwe doelen
Wraak RAT is een Trojan eerder verbonden aan campagnes die zijn getarget op financiële instellingen, overheden en bedrijven.
Eenmaal ingezet door de nieuwe malware dropper, Wraak RAT verbindt twee command-and-control (C2) servers en verzamelt de gegevens van het systeem van het slachtoffer vóór de overdracht van deze informatie aan de C2s.
IP-adressen, volume gegevens, machine namen, gebruikersnamen, of een webcam is gedetecteerd, de CPU-gegevens, de taal en de informatie met betrekking tot de antivirus producten en firewall installaties zijn gestolen.
De Trojan kan ook commando ‘ s te ontvangen van een C2 te laden schadelijke ASM code in het geheugen voor meer exploits.
Echter, de implementatie van een Trojan is niet het einde van de aanval keten. De malware druppelaar voert ook WSH RAT als een laadvermogen, met hetzelfde Microsoft.vbs-script — met een paar tweaks.
WSH RAT is vaak actief verspreid in phishing-berichten, vermomd als de bekende banken. De Trojan wordt verkocht publiekelijk online op basis van een abonnement om de dreiging actoren.
CNET: Demonstranten scan openbare gezichten in DC om aan te tonen ontbreken van gezichtsherkenning wetten
Versie 1.6 van WSH RAT wordt geladen, en deze malware bevat meer functionaliteit dan zijn tegenhanger; met inbegrip van methoden om de persistentie, diefstal van gegevens en de verwerking van informatie.
Tussen 29 functies is de mogelijkheid om te controleren of de huidige gebruiker rechten, en “afhankelijk van welke zijn gebruikt, het zal blijven zoals het is of verheffen zich (startupElevate()) naar een hoger gebruiker toegangsniveau,” zeggen de onderzoekers.
De Trojan zal ook het uitvoeren van een security check om te schakelen van de huidige security context.
TechRepublic: Nieuwe phishing e-mail campagne imiteert US postal service te leveren malware
WSH RAT richt zich op het stelen van informatie afkomstig uit populaire browsers, waaronder Google Chrome en Mozilla Firefox. Echter, de malware bevat ook andere functies, zoals het uitvoeren van bestanden, het opnieuw opstarten van het slachtoffer machine, verwijderen van programma ‘ s en keylogging.
Ook in de malware ruimte in deze maand is de opkomst van Emotet met nieuwe functionaliteit. De modulaire malware, die zich heeft bewezen populair bij cybercriminelen is het nu lijkt te worden gebruik te maken van stealth tactiek ooit in dienst van Trickbot.
Vorige en aanverwante dekking
Emotet opleving packs in nieuwe binaire bestanden, Trickbot functies
Deze enorme Android trojan malware campagne werd ontdekt nadat de bende achter het maakte basic security fouten
Nieuwe Saefko Trojan richt zich op het stelen van uw credit card gegevens, crypto portemonnee
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 15 November 2019 — 13:17 GMT (13:17 GMT)
| Onderwerp: Security