Denna trojan malware används för att stjäla lösenord och sprida ransomware

0
9

Danny Palmer

Av Danny Palmer

| 2 December 2019 — 17:00 GMT (17:00 (GMT)

| Ämne: Säkerhet

Malware attacker på sjukhus är på uppgång
Sjukvården lagrar några av de mest känslig personlig information som det kan vara om människor: hackare vet detta och funderar på att utnyttja vad de ser som ett lätt mål.

En nyupptäckt hacka kampanj för en “sofistikerad it kriminell verksamhet” är inriktningen hälso-och sjukvård och utbildning organisationer med specialbyggda, Python-baserade trojan malware som ger angripare nästan kontroll över Windows-system med möjlighet att övervaka åtgärder och stjäla känsliga data.

Skadliga funktioner i remote access-trojaner , dubbade PyXie RÅTTA, har keylogging, referens skörd, spela in video, cookie stöld, förmågan att utföra ” man-in-the-middle-attacker och förmågan att sätta andra former av skadlig programvara på infekterade system.

Allt detta uppnås samtidigt rensa bevis på misstänkt aktivitet i ett försök att säkerställa att skadlig kod inte upptäckt.

Dock spår av attackerna har hittats och beskrivits av it-säkerhet forskare vid Blackberry Cylance, som heter malware PyXie på grund av det sätt på kompilerad kod använder en ‘.pyx’ file extension i stället för den”.pyc’ som vanligtvis förknippas med Python.

PyXie RÅTTA har varit aktiv sedan åtminstone 2018 och är starkt kundanpassade, vilket tyder på att mycket tid och resurser har gått åt till att bygga den.

“Den egna verktyg och det faktum att det har legat under radarn denna långa definitivt visar en nivå av förvirring och stealth i linje med en sofistikerad cyber kriminella verksamhet”, Josh Lemos, vice vd för forskning och intelligens på Blackberry Cylance berättade ZDNet.

Skadlig kod är vanligtvis levereras till offer av en sideloading teknik som utnyttjar legitima program för att hjälpa kompromiss offer. Ett av dessa program upptäcktes av forskare var en trojanized version av ett spel med öppen källkod, som om den laddas ned, kommer att gå omkring i hemlighet installera den skadliga koden, använda PowerShell för att utöka sina privilegier och få uthållighet på maskinen.

En tredje etappen av multi-level ladda ner ser PyXie RÅTTA utnyttja något känt i koden som ‘Kobolt-Läge” som ansluter till ett kommando och kontroll av server och ladda ner de sista nyttolast.

SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)

Detta skede av nedladdningen tar fördel av Kobolt-Strike är ett legitimt verktyg penetrationstester – att hjälpa till att installera skadlig kod. Det är en taktik som ofta distribueras av cyber kriminella gäng och något som hjälpmedel till att göra attacker svårare att attributet.

Detta särskilt downloader har också likheter med en annan används för att ladda ner Shifu bank trojan, men det kan helt enkelt vara ett fall av brottslingar med öppen källkod – eller stulen – kod och åter purposing det för sina egna syften.

“En fördel med att använda ett vanligt förekommande verktyg som Kobolt Strike är det som gör attribution är svårt, eftersom det används av många olika hot aktörer, liksom legitima pentesters. Med Shifu bank trojan likheter, det är oklart om det är samma aktörer eller om någon annan återanvändas några av dess kod,” sade Lemos.

En gång installerat på måldatorn, angriparna kan kan flytta runt i systemet och genomföra kommandon som de vill. Förutom att vara som används för att stjäla användarnamn, lösenord och annan information in i systemet, forskarna notera att det finns fall av PyXie som används för att leverera ransomware att äventyras nätverk.

“Detta är en fullfjädrad RÅTTA som kan utnyttjas för ett brett utbud av mål och aktörer kommer att ha olika motiv beroende på målgrupp miljö. Det faktum att det har använts i samband med ransomware i några miljöer visar att aktörer kan vara ekonomiskt motiverad, åtminstone i de fall,” sade Lemos.

Den fulla omfattningen av PyXie RÅTTA kampanj är fortfarande inte säker, men forskare har identifierat attacker mot över 30 organisationer, huvudsakligen inom hälso-och sjukvård och utbildning branscher, med hundratals maskiner som tros ha smittats.

Bortsett från att det sannolikt är en resursstark cyber kriminella gruppen, det är för närvarande okänt exakt vem som ligger bakom PyXie RÅTTA, men kampanjen är fortfarande tänkt att vara aktiv.

Men trots den avancerade typ av malware forskare hävdar att det kan vara skyddade mot genom att standard it-hygien-och enterprise security best practices inklusive operativsystem och program lapp, endpoint protection technology, revision, loggning och övervakning av endpoint och nätverk verksamhet och revision av referens att använda.

LÄS MER OM IT-RELATERAD BROTTSLIGHET

Malware attacker på sjukhus ökar snabbt, och problemet är på väg att få en hel del sämreVarför adware och Trojaner plåga utbildning industrin TechRepublicCybersäkerhet: Under hälften av organisationer är fullt beredd att ta itu med it-angrepp –7 security tips för att hålla människor och applikationer från att stjäla dina data CNETDetta lätt-att-använda information som stjäl trojan malware är snabbt ökar i popularitet bland it-brottslingar

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

Danny Palmer

Av Danny Palmer

| 2 December 2019 — 17:00 GMT (17:00 (GMT)

| Ämne: Säkerhet