Nul
Adwind, een Remote Access Trojan (RAT) eerder verbonden aan de aanvallen tegen de industrie wereldwijd, is terug met een nieuwe toolkit ontworpen om te verleiden antivirus programma ‘ s in het toestaan van de malware om systemen te misbruiken.
Op maandag, cybersecurity onderzoekers van Cisco Talos, samen met intelligence partner ReversingLabs, de resultaten bekendgemaakt van een onderzoek naar de Adwind Trojan ‘ s nieuwste campagne.
Ook bekend als AlienSpy, JSocket, en jRat, de Trojan is een malware variant dat bevat een breed scala van vaardigheden.’
Niet alleen is de RAT kunnen verzamelen PC informatie en aanslagen, alsmede stelen referenties en gegevens die zijn ingediend via webformulieren, de malware kan ook video opnemen, geluid en screenshots te nemen. De Trojan is ook in staat om te manipuleren met systeem bestanden en overdragen van inhoud zonder toestemming van de gebruiker.
Meer recente varianten van de Trojan zijn opgewaardeerd om te overwegen de lucratieve gebied van cryptocurrency, en Adwind kunt nu ook proberen te stelen van de cryptografische sleutels nodig om toegang te krijgen tot cryptocurrency portemonnee op geïnfecteerde systemen.
De Trojan infecteert Pc ‘ s na wordt verzonden als een schadelijke inhoud via phishing campagnes. Vervaardigd e-mails bevatten schadelijke JAR-bestanden die, eenmaal uitgevoerd, sluit de RAT ‘ s command-and-control (C2) – server voor het downloaden van extra lading en de overdracht van gestolen gegevens.
De malware is eerder al verbonden met ten minste 400.000 aanvallen tegen bedrijven in de financiële, productie -, transport-en de telecom-industrie, onder anderen.
De Trojan werd ontdekt in landen zoals Turkije, de VS, India, Vietnam en Hong Kong.
De multi-functionele Trojan is ook een bekend aanbieden op schadelijke software-as-a-service (MaaS) platformen en kan gebruikt worden door bedreiging actoren bereid zijn te betalen voor een abonnement.
Een nieuwe spam-campagne ontstond in augustus is het verspreiden van Adwind 3.0, een van de laatste gedetecteerd varianten van de Trojan. De campagne richt zich op het Windows -, Linux-en Mac-computers met een bijzondere aandacht voor de slachtoffers in Turkije en Duitsland.
Wat maakt de nieuwe regeling interessant, echter, is de opname van een Dynamic Data Exchange (DDE) code-injectie aanval die streeft naar een compromis Microsoft Excel en omzeilen, op handtekeningen gebaseerde antivirus-oplossingen.
De phishing-campagne stuurt schadelijke berichten .CSV-of .XLT bijlage-die beide zijn geopend door Excel als standaard.
De schadelijke bestanden te bevatten één van de twee droppers, die beide gebruikmaken van de DDE-injectie. De dropper-bestand kan ook gebruik maken van een verscheidenheid van extensies, met inbegrip van .htm .xlt, .xlc, en .db.
“Niet alle van de uitbreidingen zal worden geopend door Microsoft Excel standaard” Talos zegt. “Maar voor de niet-standaard extensies een script voor het starten van Excel een bestand met een van deze extensies als een parameter is nog steeds een levensvatbare geval van een aanval.”
Cisco Talos zegt de nieuwe techniek is geïmplementeerd in de naam van verduistering. Het begin van het bestand bevat geen header te worden gecontroleerd — die, op zijn beurt, verwarren antivirus software die verwacht ASCII karakters worden in het CSV-formaat, bijvoorbeeld.
In plaats van het opsporen van het bestand op als een druppelaar, op handtekeningen gebaseerde antivirus-software kan gewoon overwegen het bestand beschadigd. Talos zegt dat Microsoft Excel is het detecteren van het geopende bestand als nep, maar de gebruiker is nog steeds in staat om te openen de “corrupte” bestand als ze dat willen.
Zie ook: NSS Labs bestanden rechtszaak over vermeende CrowdStrike, Symantec, het ESET-product testen samenzwering
Er zijn drie waarschuwingen in totaal uitgegeven door Microsoft. Indien de gebruiker aanhouden, de druppelaar en DDE injectie script uit te voeren.
Cisco Talos
De code wordt dan het maken van een Visual Basic-script die gebruik maakt van bitasdmin. De bitasdmin tool, ontwikkeld door Microsoft als legitieme software, is een commando-regel gereedschap voor het maken, het downloaden of uploaden van taken en het bewaken van de voortgang.
TechRepublic: Waarom het inhuren van meer cybersecurity voors niet mag leiden tot een betere beveiliging
Bitasdmin wordt misbruikt om het downloaden van de laatste lading, een Java-archief-bestand waarin een commerciële packer genoemd Allatori Obfuscator. Dit ingepakte bestand vervolgens decomprimeert implementeren van de volledige Adwind RAT.
Terwijl dit soort injectie aanval is niet nieuw, zeggen de onderzoekers dat “deze acteur een manier gevonden om het te wijzigen om een extreem lage detectie ratio.”
“Hoewel zowel de generieke methode en de lading zijn bekend, deze campagne tonen[s] hoe sommige van de variantie in de bekende artefacten kunnen truc antivirus [software],” Cisco Talos zegt. “Hun gedrag, maar duidelijk is dat de klassieke, wat betekent dat sandboxing en gedrag-gebaseerde oplossingen uitgelijnd met de bedoeling gebaseerde netwerken moet in staat zijn op te sporen en te voorkomen dat deze bedreigingen zonder problemen.”
CNET: Ring vernieuwde Stick Omhoog Cams wilt u een plek in uw huis
In augustus onderzoekers van IBM X-Force ontdekt een versnelling in de activiteiten van BackSwap, een financiële Trojan die is gespecialiseerd in aanvallen op banken en andere financiële instellingen.
Terwijl de Trojan had eerder alleen aangetroffen in de cyberaanvallen geheven tegen banken in Polen, de malware heeft zich nu verspreid over de spaanse grenzen.
Vorige en aanverwante dekking
Trend Micro Zero Day team onthult ongepatchte Microsoft Jet RCE kwetsbaarheid Cisco releases oplossingen voor uitvoering van externe code gebreken in de Webex-Netwerk Opnemen Speler Deze russische botnet bootst uw klik om te voorkomen dat Android-apparaat factory reset
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0