Nul
Adwind, en Remote Access Trojan (ROTTE) tidligere har oprettet forbindelse til angreb mod industrier over hele verden, er tilbage med en ny toolkit designet til at narre antivirus-programmer til at give malware til at udnytte systemer.
Mandag, cybersecurity forskere fra Cisco Talos, sammen med intelligence partner ReversingLabs, udgivet resultaterne af en undersøgelse af de Adwind Trojan ‘ s seneste kampagne.
Også kendt som AlienSpy, JSocket, og jRat, den Trojan er en malware-variant, der indeholder en bred vifte af færdigheder.’
Ikke kun er en ROTTE i stand til at indsamle PC-oplysninger og tastetryk, så godt som stjæle loginoplysninger og data, der sendes via web-formularer, malware er også i stand til at optage video, lyd og tage screenshots. Den Trojan er også i stand til at manipulere med system filer og overføre indhold, uden brugerens samtykke.
Nyere varianter af den Trojanske er blevet opgraderet til at overveje den lukrative område af cryptocurrency, og Adwind kan nu også forsøg på at stjæle de kryptografiske nøgler, der kræves for at få adgang til cryptocurrency tegnebøger på inficerede systemer.
Den Trojanske inficerer Pc ‘ er, efter at være blevet sendt som en ondsindet payload via phishing kampagner. Udformet e-mails kan indeholde skadelig JAR-filer, som, når udført, forbind til RAT ‘ s kommando-og-kontrol (C2) – server til at hente yderligere nyttelast og overførsel af stjålne data.
Den malware har tidligere været forbundet til mindst 400,000 angreb mod virksomheder inden for finans, produktion, levering, og tele-industrien, blandt andre.
Den Trojan er blevet påvist i en række lande, herunder Tyrkiet, USA, Indien, Vietnam og Hong Kong.
Den multi-funktionelle Trojan er også en kendt tilbyder på malware-as-a-service (MaaS) platforme og kan bruges af trussel aktører, der er villige til at betale et abonnement.
En ny spam-kampagne, der opstod i August, som breder Adwind 3.0, en af de seneste opdaget varianter af den Trojanske hest. Kampagnen er målrettet Windows, Linux og Mac-maskiner med særlig fokus på ofrene i Tyrkiet og Tyskland.
Hvad gør den nye ordning interessant, men er optagelse af en DDE (Dynamic Data Exchange) – kode injektion angreb, der har til formål at gå på kompromis Microsoft Excel og omgå signatur-baserede antivirus-løsninger.
Phishing-kampagne, der sender meddelelser, der indeholder skadelig en .CSV-eller .XLT vedhæftet fil — både, som er åbnet af Excel som standard.
De ondsindede filer, der indeholder en af to pipetter, både som løftestang DDE injektion. Dropper-fil kan også bruge en bred vifte af udvidelser, herunder .htm .xlt, .xlc, og .db.
“Ikke alle af de udvidelser vil blive åbnet af Microsoft Excel som standard,” Talos siger. “Men for de ikke-standard udvidelser et script ved start af Excel med en fil med en af disse udvidelser som en parameter er stadig en levedygtig angreb scenarier.”
Cisco Talos siger den nye teknik, der er blevet gennemført i navn af formørkelse. Begyndelsen af filen indeholder ingen overskrift for at blive tjekket — som, igen, forvirre antivirus software, som forventer ASCII-tegn til at være til stede i CSV-format, for eksempel.
I stedet for at afsløre den fil som en dråbetæller, signatur-baserede antivirus-software kan simpelthen overveje at filen er beskadiget. Talos siger, at Microsoft Excel registrerer den åbnede fil som falske, men brugerne er stadig i stand til at åbne den “korrupte” – fil, hvis de ønsker det.
Se også: NSS Labs filer retssag over påståede CrowdStrike, Symantec, ESET produkt test sammensværgelse
Der er tre advarsler i alt udstedt af Microsoft. Hvis brugeren fortsætter, dropper og DDE injektion, script udføre.
Cisco Talos
Koden vil derefter oprette en Visual Basic-script, der anvender bitasdmin. Den bitasdmin værktøj, der er udviklet af Microsoft som legitim software, er en kommando-linje værktøj til at skabe, download eller upload af arbejdspladser og overvåge deres fremskridt.
TechRepublic: Hvorfor ansætter flere cybersecurity fordele, kan ikke føre til bedre sikkerhed
Bitasdmin er misbrugt for at hente den sidste last, et Java-arkiv-fil, som indeholder en kommerciel packer kaldet Allatori Obfuscator. Denne pakket fil og derefter dekomprimerer at implementere den fulde Adwind ROTTE.
Mens denne form for injektion angreb er ikke nye, siger forskerne, at “denne skuespiller har fundet en måde til at ændre den for at have en meget lav afsløring af forholdet.”
“Selv om både den generiske metode og nyttelasten er kendt, at denne kampagne viser[s], hvor en vis varians i kendte artefakter kan narre antivirus [software],” Cisco Talos siger. “Deres adfærd, men er helt klart klassisk, hvilket betyder, at sandboxing og adfærd-baserede løsninger afstemt med den hensigt baseret netværk bør være i stand til at opdage og stoppe disse trusler uden problemer.”
CNET: Ring er redesignet Holde Op Cams ønsker et sted inde i dit hjem
I August, forskere fra IBM X-Force afdækket en stigning i de aktiviteter, BackSwap, en finansiel Trojan, som har specialiseret sig i angreb mod banker og andre finansielle institutioner.
Mens den Trojanske havde tidligere kun været fundet i cyberangreb, der opkræves mod banker i Polen, den malware har nu spredt sig og krydsede spanske grænser.
Tidligere og relaterede dækning
Trend Micro Zero Day-holdet oplyser unpatched Microsoft Jet RCE sårbarhed Cisco udgivelser rettelser til fjernkørsel af programkode fejl i Webex Netværk Optagelse Spiller russisk botnet efterligner dine klik her for at forhindre, at Android-enhed fabrik, nulstilles
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0