per Zero-Day
| 21 novembre 2019 — 15:00 GMT (15:00 GMT)
| Argomento: Sicurezza
La nuova variante del malware trojan mette le vostre informazioni personali a rischio
NanoCore RATTO può rubare le password, dettagli di pagamento, e segretamente registrare audio e video degli utenti di Windows.
Un nuovo Trojan, SectopRAT, è apparso in natura, che è in grado di lanciare un nascosto desktop secondario per controllare le sessioni del browser su computer infetti.
Il nuovo malware è stato avvistato da MalwareHunterTeam. In un tweet il 15 novembre, MalwareHunterTeam ha detto che il C# malware, compilata il 13 novembre, è stato in grado di “creare [a] nascosto desktop ed esegui [a] selezionato browser c’con controllo completo”.
Questo ha catturato l’attenzione dei ricercatori di sicurezza informatica da G Data, che sono stati in grado di ottenere un secondo campione, compilato il 14 novembre, in seguito sottoposti a Virustotal.
Il primo SectopRAT campione è firmato da Sectigo RSA Firma del Codice CA e utilizza un icona del Flash, mentre il secondo non è firmato. Entrambi i campioni del Remote Access Trojan (RATTO) uso arbitrario di caratteri per i nomi, sono write/execute caratteristiche, e fare uso di ConfuserEx per l’offuscamento.
Secondo i ricercatori, il malware contiene un RemoteClient.Config classe con quattro oggetti di valore per la configurazione — IP, retip, nome del file e mutexName.
L’IP variabile riguarda il Trojan di comando e controllo (C2) server, mentre il retip variabile è stata progettata per impostare la nuova C2 ip che il server può eseguire l’override utilizzando il “set IP di comando”.
Vedi anche: Asruex Trojan exploit vecchio Office, Adobe bug backdoor sistema
Filename e mutexName, tuttavia, sono serie, ma non in uso attivo.
Il hardcoded filename spoolsvc.exe viene aggiunto al registro di sistema per la persistenza, una sorta di parodia del legittimo il servizio Microsoft spoolsv.exe.
Una volta collegato con il suo C2, il Trojan può essere comandato a flusso attivo di una sessione di desktop o creare uno secondario, codificato come “sdfsddfg,” che è nascosto alla vista. I ricercatori dicono che gli operatori del malware sono in grado di utilizzare il “Init browser” comando per avviare una sessione del browser attraverso il desktop secondario.
CNET: Facebook, Google “sorveglianza”, minaccia i diritti umani, Amnesty International dice
Chrome, Firefox o Internet Explorer le sessioni del browser può essere lanciato. Il malware è anche in grado di cambiare configurazioni del browser per disabilitare barriere di sicurezza e sandbox. Tuttavia, il browser percorsi sono hardcoded e non utilizzare le variabili di ambiente.
Il malware è anche in grado di inviare le informazioni del computer indietro per la C2, come il nome del sistema operativo, processore, dati, informazioni di base e la RAM disponibile.
TechRepublic: Come proteggersi dagli hacker? IBM ingegnere sociale offre il suo consiglio
Un altro comando “Get codec info” non è ancora implementato. Il team ritiene che il Trojan non è ancora completa, come SectopRAT “sembra finito e in parti frettolosamente fatto.”
“Nonostante i difetti evidenti come l’utilizzo di percorsi fissi senza variabili ambientali per accedere a file di sistema, il RATTO di architettura, l’utilizzo di un secondo desktop e modifiche nel browser di file di configurazione e i parametri di mostrare alcune conoscenze interne che è tutt’altro che un novellino,” dicono i ricercatori. “È del tutto possibile che i primi esemplari in natura sono solo per i test.”
Indicatori di Compromesso (Ioc), possono essere consultati qui.
Precedente e relativa copertura
Quando uno non è abbastanza: Questo ombroso malware di infettare il PC con dual Trojan
Questo vecchio trojan malware è tornato con un nuovo trucco per aiutare a nascondere in bella vista
Magecart gruppo legato a Dridex Trojan bancario, Carbanak
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 21 novembre 2019 — 15:00 GMT (15:00 GMT)
| Argomento: Sicurezza