Noll
En resursstark och produktiv hacka gruppen är att distribuera en ny stam av skadlig kod som ger hackare remote desktop tillgång som en del av en information-att stjäla kampanj som riktar sig till banker, återförsäljare och företag.
ServHelper malware har varit aktiv sedan November förra året och installerar en bakdörr på Windows-Datorer, ge angripare med fjärråtkomst till äventyras maskiner. Men det är inte där attacken slutar: ServHelper fungerar också som en downloader för FlawedGrace, en familj av trojan malware som först dök upp i November 2017 och beskrivs som “en fullfjädrad” Remote Access-Trojaner.
Den kombinerade ServHelper och FlawedGrace kampanj har varit närmare av forskare vid Proofpoint. De attribut de attacker TA505, en it-relaterad brottslighet grupp som har lanserat några av de största it-attacker på senaste åren, såsom Dridex bank trojan och Locky ransomware. Gruppen har varit aktiv sedan åtminstone 2014.
ServHelper kampanjer börjar genom att spamma ut phishing e-post. Budskapen är enkla, helt enkelt be potentiella offer för att öppna dokument, ofta hävdas att relatera till bank överföring. Dock, på grund av det stora antalet meddelanden som skickas på en gång — tiotusentals e-post är fördelade på en gång — för angripare utifrån till synes tro att de kan ta ut en betydande del av användarna, trots att de grundläggande typ av phishing-attacker.
“TA505 har normalt inte anställd tung social ingenjörskonst, förlitar sig i stället på volym för att hitta ovetande offer. Som sagt, människans nyfikenhet och vår luftkonditionering för att snabbt öppna e-postmeddelanden och bilagor är ofta nog även utan avancerade social engineering”, Chris Dawson, hot intelligens leda till Proofpoint berättade ZDNet.
En phishing e-post används för att sprida skadlig kod.
Bild: Proofpoint
De som öppnar bilagor — och aktivera makron — enable ServHelper att vara installerade på maskinen. Forskarna notera att denna nya form av skadlig kod är aktivt utvecklas, med nya kommandon och funktioner som ska läggas till i nästan varje ny kampanj sedan den först dök upp.
Men ServHelper primära funktion är oförändrad: det fungerar som en bakdörr för att göra det möjligt för angripare åtkomst till fjärrskrivbord för att den infekterade enheten och gör det möjligt för angripare att stjäla användarkonton och webb-profiler — förse dem med stora lager av information om den infekterade offer.
Det är inte slutet av attacken, men eftersom ServHelper kan ladda ner och köra annan skadlig programvara på infekterade PC-FlawedGrace.
FlawedGrace först dök upp för en kort period i November 2017 innan de försvinner och endast re-emerging som en del av ServHelper kampanj. Forskare föreslår att “betydande utveckling har ägt rum på FlawedGrace, som har byggts med hjälp av objektorienterad och multitrådad programmering-en teknik som utformats för att göra reverse-engineering och analys av det skadliga programmet svårare.
Remote access-trojaner kapacitet FlawedGrace menar att det gör det möjligt för angripare att få nästan full kontroll över en infekterad enhet. Med tanke på hur kampanjen mål bankerna och handeln, är det troligt att skaffa pengar är det yttersta målet för attacker, kan vara att genom att stjäla bank referenser, eller med hjälp av företagets referenser för att få tillgång till känslig information som kan handlas på för vinst.
SE: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara
Man tror att ServHelper och FlawedGrace kampanj är aktiv tillsammans med en annan TA505 trojan malware-kampanj som började i slutet av 2018. Gruppen används för att fokusera på ransomware, men har mer och mer gått mot att stjäla information — och det är troligt att de har valt att fördela olika former av skadlig kod för att undvika upptäckt och säkerställa maximal avkastning.
“Gruppen har lagt till en mängd av skadlig kod till sin verktygsväska under åren, med tillägg 2018 med fokus på Råttor och lastare, säger Dawson.
“Vi kan bara spekulera om resonemanget bakom deras val av skadlig kod, malware ger dem nya möjligheter att undgå upptäckt och ändras, till exempel från ransomware att banker eller banker för att Råttor, med åtföljande möjligheter att följa pengarna.”
Proofpoint har detaljerad information om Indikatorer Kompromiss för ServHelper och FlawedGrace i sin analys av skadlig kod.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Hur en hackad laptop ledde till ett helt nätverk äventyras
Nya ransomware kan förvandla din dator till en hacker verktyg CNET
Hur lärande från hackare kan skydda oss från angrepp
Enkla sätt att undvika skadlig programvara på alla dina enheter TechRepublic
Double trouble: Två fronter cyber attack infekterar offer med data för att stjäla trojan malware och ransomware
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0