Questo trojan malware viene utilizzato per rubare le password e la diffusione ransomware

0
24

Danny Palmer

Da Danny Palmer

| 2 dicembre, 2019 — 17:00 GMT (17:00 GMT)

| Argomento: Sicurezza

Gli attacchi di Malware, gli ospedali sono in aumento
Il settore sanitario conserva alcuni dei più informazioni personali sensibili, ci possono essere persone: gli hacker lo sanno e stanno cercando di sfruttare quello che vedono come un facile bersaglio.

Una recente scoperta di hacking campagna da un sofisticato criminale informatico operazione’ è il targeting per la sanità e l’istruzione organizzazioni con custom-built, basato su Python trojan malware che offre agli attaccanti quasi il controllo dei sistemi Windows con la possibilità di monitorare le azioni e rubare dati sensibili.

Funzioni dannose di trojan di accesso remoto , soprannominato PyXie RATTO, includono la registrazione, le credenziali di raccolta, registrazione video, cookie furto, la capacità di eseguire man-in-the-middle attacchi e la capacità di distribuire altre forme di malware sui sistemi infetti.

Tutto questo, si ottiene durante la cancellazione della prova di attività sospette in uno sforzo per assicurare che il malware non è scoperto.

Tuttavia, le tracce degli attacchi sono stati trovati e dettagliate da cyber security ricercatori Blackberry Cylance, che ha chiamato il malware PyXie a causa del modo in cui il codice compilato utilizza un ‘.pisside’ estensione del file invece di la ‘.pyc’ tipicamente associati con Python.

PyXie RATTO è stato attivo almeno dal 2018 ed è altamente personalizzabile, che indica che un sacco di tempo e di risorse, sono entrati in costruzione.

“L’usanza di utensileria e il fatto che è rimasto sotto il radar di questa lunga sicuramente mostra un livello di offuscamento e stealth in linea con un sofisticato criminale informatico operazione” Josh Lemos, VP di ricerca e di intelligence a Blackberry Cylance detto a ZDNet.

Il malware è tipicamente fornita alle vittime da un sideloading tecnica che sfrutta le applicazioni legittime per aiutare compromesso vittime. Una di queste applicazioni scoperto dai ricercatori era un trojan versione di un gioco open source, che se scaricato, andare su segretamente installare il payload dannoso, utilizzando PowerShell per l’escalation di privilegi e di ottenere la persistenza sulla macchina.

Una terza fase di multi-livello di scaricare vede PyXie RATTO sfruttare qualcosa di conosciuto in codice come “Cobalto Modalità’ che si connette a un server di comando e controllo così come il download di finale payload.

VEDERE: UNA strategia vincente per la sicurezza informatica (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)

Questa fase di download sfrutta Cobalto Sciopero – un legittimo strumento di test di penetrazione – per aiutare a installare il malware. È una tattica che viene spesso distribuito dai cyber criminali e qualcosa che aiuta a rendere gli attacchi più difficile attributo.

Questo particolare downloader, inoltre, ha analogie con un altro usato per scaricare il Shifu trojan bancario, tuttavia, potrebbe essere semplicemente un caso di criminali che open source – o rubato – il codice e il riutilizzo per fini propri.

“Un vantaggio di utilizzando uno strumento ampiamente utilizzato come Cobalto Sciopero si rende attribuzione difficile dal momento che è utilizzato da molti pericolosi diversi attori legittimi pentesters. Con il Sifu trojan bancario somiglianze, non è chiaro se è la stessa attori o se qualcun altro riutilizzati alcuni del suo codice,” ha detto Lemos.

Una volta installato correttamente sul sistema di destinazione, gli aggressori possono spostare tutto il sistema e implementare i comandi per favore. Oltre ad essere utilizzato per rubare nomi utente, le password e altre informazioni che entrano nel sistema, i ricercatori di notare che ci sono casi di PyXie essere utilizzato per fornire ransomware di compromesso reti.

“Questo è un full-optional RATTO che possono essere utilizzati per una vasta gamma di obiettivi e di attori che hanno motivazioni diverse a seconda dell’ambiente di destinazione. Il fatto è stato utilizzato in combinazione con ransomware in alcuni ambienti indica che gli attori possono essere finanziariamente motivati, almeno in questi casi,” ha detto Lemos.

Nella misura massima di PyXie RATTO di campagna non è ancora certo, ma i ricercatori hanno identificato gli attacchi contro di oltre 30 organizzazioni, prevalentemente nel campo della sanità e dell’istruzione industrie, con centinaia di macchine creduto di essere stato infettato.

A parte la probabile potrebbe essere un ben attrezzato cyber criminali del gruppo, è attualmente sconosciuto che è esattamente dietro PyXie RATTO, ma la campagna è ancora pensato per essere attivo.

Tuttavia, nonostante la natura sofisticata del malware, i ricercatori affermano che si può essere protetti contro da parte di standard informatici di igiene e sicurezza aziendale di best practices tra sistema operativo e applicazione di patch, endpoint protection technology, il controllo, il monitoraggio e la registrazione di endpoint e le attività della rete e il controllo dell’uso delle credenziali.

PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA

Gli attacchi di Malware, gli ospedali sono in forte aumento, e il problema è in procinto di ottenere molto peggioPerché adware e Trojan affliggono il settore dell’educazione TechRepublicCybersecurity: meno della metà delle organizzazioni che sono pienamente preparati ad affrontare gli attacchi cibernetici7 consigli per la sicurezza per tenere le persone e le applicazioni di rubare i vostri dati CNETQuesto facile da usare informazioni-stealing trojan malware sta rapidamente guadagnando popolarità tra i cyber criminali

Argomenti Correlati:

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati

Danny Palmer

Da Danny Palmer

| 2 dicembre, 2019 — 17:00 GMT (17:00 GMT)

| Argomento: Sicurezza