En ny skadlig kod kampanj som riktar sig till ryska högtalare är att använda hot om skuld och saknad betalningar för att lura offer till att ladda ner och köra en bank Trojan.
Den runda av attacker, som beskrivs av Palo Alto Nätverk Enhet 42 security team, kunde spåras under de fyra sista månaderna av 2018.
Den angreppspunkten är bred och innebär massa distribution av skräppost och phishing e-post snarare än valda, riktade attacker. De mail som skickas, men använder ett antal föremål linjer som kan ge upphov till panik eller rädsla i intet ont anande blivande offer — hotet av gäldenärer eller utbetalningar, en situation som många av oss är bekanta med.
Dessa föremål linjer inkluderar “Skuld på grund onsdag,” “Betalning Kontroll,” och “paket av dokument för att betalningen till den 1 oktober”, bland andra ekonomiska ämnen.
Ämnet rubriker ständigt förändras, men forskarna säger att de “alla har ett gemensamt tema: de hänvisar till ett dokument eller en fil för en påstådd ekonomisk fråga mottagaren måste lösa.”
“Dessa meddelanden är ofta vaga, och att de inte innehåller några uppgifter om de påstådda ekonomiska problem,” Enhet 42 läggas till. “Deras enda mål är att lura mottagaren att öppna den bifogade arkiv och dubbelklicka på den körbara som finns inuti.”
Fokus för kampanjen är att sprida en bank Trojan som kallas Redaman. Först upptäcktes i och med 2015, detta malware var först känd som RTM bank Trojan (.PDF).
Se även: Data-säkerhet är en viktig fråga i överensstämmelse GDPR
Vid körning, den körbara filen som innehåller den Trojan som först kommer att starta en genomsökning för att fastställa om programmet körs i en sandlåda miljö, som ofta används av säkerhet forskare att packa upp malware prover. Om det skadliga programmet avslöjar filer eller kataloger på en Windows-maskin som tyder på virtualisering eller sandbox, den körbara utgångar.
Om målet maskinen verkar legitim, Windows körbara kommer att släppa en DLL-fil i DATORN temporär katalog, skapa ett slumpmässigt namn i mappen ProgramData katalog, och skift-DLL-filen till denna mapp, igen, med hjälp av ett slumpmässigt namn.
Den Redaman DLL den skapar en schemalagd Windows uppgift som utlöser varje gång användaren loggar in på maskinen för att upprätthålla uthållighet.
CNET: Högskolor enligt uppgift släpper Huawei utrustning för att blidka Trump administration
Malware använder en hooking system för att övervaka webbaktivitet. Chrome, Firefox och Internet Explorer är av särskilt intresse för Redaman, som också kommer att söka den lokala värden för någon information som är relaterade till bank eller finans.
Redaman: s mål är att stjäla bank referenser och andra data som när det skickas till malware aktörer, kan användas för att äventyra konton och stjäla offrets medel eller genomföra identitetsstöld.
Den Trojanska är även möjlighet att ladda ner ytterligare filer till en infekterad värd, använda keylogging, ta skärmdumpar, spela in video på en Windows desktop session, ändra DNS-konfigurationer, stjäla urklipp data, avsluta processer som körs, och lägga till certifikat till Windows store.
TechRepublic: Hackare är fortfarande använda molntjänster för att maskera attack ursprung och bygga falskt förtroende
Skräppost-meddelanden som används för att sprida Redaman har bifogade filer som Windows körbara förklädd .PDF-dokument, eller skickas som .zip och 7-zip .rar, eller .gz arkiv med gzip.
Ryska mottagare är det viktigaste att fokusera på nuet, men individer i USA, Nederländerna, Sverige, Japan, Khazakstan, Finland, Tyskland, Österrike och Spanien är också riktas.
Palo Alto förväntar sig att se nya prover på Redaman visas i det vilda under det kommande året.
Tidigare och relaterade täckning
Sky Gå app säkerhet misslyckande utsätter kunderna för att snooping, data stöld
OpenBMC påkommen med “pantsdown” över en ny säkerhetsbrist
Adobe släpper tredje patch uppdatering av den månad squash skript fel
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter