Una nuova campagna di malware targeting russo diffusori utilizzando le minacce di debito e di mancati pagamenti per ingannare le vittime in download e l’esecuzione di un Trojan bancario.
Il round di attacchi, come descritto da Palo Alto di Rete dell’Unità 42 del team di sicurezza, è stato registrato negli ultimi quattro mesi del 2018.
Il vettore di attacco è ampio e prevede la distribuzione di massa di spam e phishing, piuttosto che selezionato, attacchi mirati. I messaggi di posta elettronica inviati, tuttavia, utilizzare un numero di righe oggetto che potrebbe indurre il panico o paura nella ignari aspiranti vittime — la minaccia dei debitori o i pagamenti dovuti, una situazione che molti di noi hanno familiarità con.
Questi includono “il Debito a causa di mercoledì,” modalità di Pagamento “Verifica” e “Il pacchetto di documenti per il pagamento 1 ° ottobre,” tra le altre materie finanziarie.
Il soggetto intestazioni in continuo cambiamento, ma i ricercatori dicono che “tutti hanno un tema comune: fanno riferimento a un documento o un file per un presunto problema finanziario, il destinatario deve risolvere.”
“Questi messaggi sono spesso vaghi e contengono pochi dettagli sul presunto problema finanziario,” Unità di 42 aggiunto. “Il loro unico scopo è quello di indurre il destinatario ad aprire l’archivio allegato e fare doppio clic sul file eseguibile contenuto all’interno.”
Il focus della campagna è diffondere un Trojan bancario conosciuto come Redaman. Scoperto nel 2015, questo malware è stato prima conosciuto come l’RTM Trojan bancario (.PDF).
Vedi anche: la sicurezza dei Dati è un problema importante, in conformità GDPR
Al momento dell’esecuzione, il file eseguibile contenente il Trojan primo lancio una scansione per vedere se il programma è in esecuzione in un ambiente sandbox, comunemente utilizzato dai ricercatori di sicurezza per decomprimere campioni di malware. Se il malware scopre i file o le directory su una macchina Windows che suggerisce di virtualizzazione o il sandboxing, l’eseguibile uscite.
Se il computer di destinazione appare legittimo, il file eseguibile di Windows farà cadere un file DLL nella cartella del PC directory temporanea, creare un nome casuale cartelle in ProgramData, e spostare la DLL nella cartella, ancora una volta, utilizzando un nome file casuale.
Il Redaman DLL crea una pianificata attività di Windows che si attiva ogni volta che l’utente accede alla macchina, in modo da mantenere la persistenza.
CNET: Collegi riferito goccia Huawei attrezzature per placare Trump amministrazione
Il malware utilizza un sistema di aggancio per monitorare le attività di navigazione. Chrome, Firefox e Internet Explorer sono di particolare interesse per Redaman, che sarà anche cercare host locale per qualsiasi informazione relativa al settore bancario o finanziario.
Redaman obiettivo è quello di rubare le credenziali bancarie e altri dati che, una volta inviato il malware operatori, può essere utilizzato per compromettere gli account e rubare la vittima di fondi o di comportamento del furto di identità.
Il Trojan è anche in grado di scaricare ulteriori file da un host infetto, l’uso di keylogging, catturare immagini, registrare video del desktop di Windows sessione, modificare le configurazioni DNS, rubare i dati degli appunti, terminare i processi in esecuzione, e aggiungere i certificati per Windows store.
TechRepublic: gli Hacker sono ancora utilizzando servizi cloud mask attack origine e costruire false fiducia
I messaggi di spam utilizzate per la diffusione Redaman di file allegati, che sono file eseguibili di Windows travestito .I documenti PDF o inviati come .zip, 7-zip .rar o .gz gzip archivi.
Russo destinatari sono il focus principale; tuttavia, gli individui negli USA, paesi Bassi, Svezia, Giappone, Kazakistan, Finlandia, Germania, Austria, Spagna e anche di essere presi di mira.
Palo Alto si aspetta di vedere i nuovi campioni di Redaman appaiono in natura, per il prossimo anno.
Precedente e relativa copertura
Sky Go app mancata sicurezza espone ai clienti di spionaggio, furto di dati
OpenBMC catturato con ‘pantsdown’ più nuova falla di sicurezza
Adobe rilascia la terza patch di aggiornamento del mese di squash di scripting bug
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati