Een nieuw merk van malware is ontwikkeld om een bedreiging van de groep de instrumenten die nodig zijn om de aanval van Windows-besturingssystemen naast hun gebruikelijke Android-doelen.
Op dinsdag, cybersecurity onderzoekers van Palo Alto Unit 42 zei de malware, genaamd Farseer, heeft verbindingen met HenBox, een cyberespionage malware gedetecteerd in 2018 in aanvallen tegen Google ‘ s Android-besturingssysteem.
HenBox is te vinden op de loer in kwaadaardige Android-apps, waaronder Virtual Private Network (VPN) diensten en programma ‘ s.
HenBox hoofdzakelijk de turks-Oeigoerse groep om gegevens te stelen met inbegrip van persoonlijke en informatie van het apparaat, met inbegrip van telefoonnummers met een Chinese voorvoegsel. De malware is ook in staat om compromissen te sluiten smartphone-camera ‘ s en microfoons.
Deze kwaadaardige software is gebruikt in politieke, doelgerichte aanvallen en het risico voor de groep verbonden aan HenBox heb andere malware dateren terug tot 2015, met inbegrip van PlugX, Zupdax, 9002, en Poison Ivy.
Zie ook: MWC 2019: Uw bionische hand is nu aan het risico van hackers
Over het algemeen gericht op smartphones, de hackers hebben nu uitgebreid hun horizon te verbreden met de lancering van de Farseer. De malware wordt verspreid via phishing campagnes en kwaadaardig .PDF-bestanden waarbij gebruik wordt gemaakt van social engineering tactieken door de kopiëren-en-plakken van nieuws, artikelen ingekocht door middel van een Myanmar website.
Farseer maakt gebruik van DLL sideloaden door het neerzetten van bekende, legitieme binaire bestanden naar een host die zijn ondertekend, vertrouwde toepassingen doorgegeven door leveranciers, waaronder Microsoft en daarom niet als kwaadaardige door traditionele antivirus-oplossingen. Kwaadwillende ladingen zijn genest binnen invoer detectie te vermijden en zijn ook verpakt en gecodeerd.
CNET: ONS verluidt nam de russische trollen offline op de verkiezingsdag in 2018
Obfuscated code wordt vervolgens geladen maken van een backdoor en communiceren met de command-and-control (C2) – servers voor extra commando ‘ s, die kunnen bestaan diefstal van informatie.
“De verduistering routine gebruikt in dit geval-en vele anderen-is gewoon ASCII-codering waar tekens worden vervangen met de ASCII-waarde; andere varianten hebben gebruikt, sterker, aangepaste algoritmen te verbergen configuratie-gegevens,” Palo Alto zegt.
In totaal 30 unieke monsters van de malware zijn verschenen op de radar de afgelopen twee en een half jaar. De onderzoekers zeggen er is een “low volume, maar gestage stroom” van Farseer monsters, die kunnen worden herleid tot een web van infrastructuur voor het hosten van andere malware gebruikt door de groep.
Zeven bekende domeinen hosten van de malware, waarvan er vier ook in verband met Poison Ivy, Zupdax, en PKPLUG, en allemaal van die aandeel ten minste één domein op het derde niveau in common.
De onderzoekers denken dat dit gedeelde bron zou kunnen wijzen op een “sjabloon wordt gebruikt voor de infrastructuur setup of gebaseerd op de eisen van de malware-C2 communicatie.”
TechRepublic: Waarom AI en ML niet cybersecurity oplossingen–toch
Een interessant facet van de Farseer is een zwakke verbinding tot 2015 de Geest Dragon campagne, die zich richt op zowel de Chinese en russische gebruikers door middel van aangepaste Gh0st Remote Access Trojans (Ratten). Het is echter niet mogelijk om te weten hoe sterk deze banden zijn, gezien de hoeveelheid tijd die is verstreken.
“Overwegende dat HenBox een bedreiging voor apparaten die draaien op Android, Farseer is gebouwd om de doelstelling van Windows, die lijkt meer typerend gezien eerdere bedreigingen gezien vanuit de groep of groepen achter deze en gerelateerde malware,” zeggen de onderzoekers. “De overlappende infrastructuur, gedeelde TTPs en overeenkomsten in kwaadaardige code en configuraties van de hoogtepunten van het web van bedreigingen gebruikt om te richten slachtoffers in en rond de Zuid-Oost-Azië, en misschien wel verder.”
Vorige en aanverwante dekking
De hacker het paradijs: Sociale netwerken netto criminelen $3bn een jaar in illegale winst
MWC 2019: Uw toekomstige Android-telefoon, apps moet geen wachtwoord
Nep-Google reCAPTCHA gebruikt voor het verbergen van Android banking malware
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters