En scanner app med 100 miljoner nedladdningar börjar leverera malware
En Android på Google play app, finns sedan 2010, har nyligen börjat installera skadlig kod.
En ny variant av PsiXBot, malware konfigurerad för stöld av information och cryptocurrency, har setts i det vilda som missbrukar Googles DNS över HTTPS-service.
PsiXBot är en relativt ny stam av skadlig programvara, har först upptäckts i och med 2017. Skriven på .NET, den skadliga koden har genomgått en rad förändringar och utveckling, och enligt Proofpoint forskare, den senaste uppgraderingen innehåller några mycket intressanta förändringar.
Det skadliga programmet, och som levereras via spam-kampanjer och som en bomb i Spleevo och RIG-v exploit kit, mål-användare, så länge de inte är ryska språk som modersmål.
PsiXBot har tidigare varit ansluten till .lite domäner som är associerade med NameCoin cryptocurrency, som kräver särskild DNS server inställningar. Det skadliga programmet använder också hex-kodad tiny.cc länkar för att utföra DNS-förfrågningar för separat kommando-och-kontroll (C2) – servrar som skickar infektion kommandon som börjar med ett system check.
Om en maskin är det bedöms lämpligt för infektion, malware moduler utförs, inklusive ett lösenord stealer, cookie-stealer, keylogger, och en process som övervakar urklipp för autentiseringsuppgifter som används för plånböcker för cryptocurrency såsom Bitcoin, Etherium, Monero, och Rippel.
Se även: Telnet bakdörr sårbarheter påverkan över en miljon sakernas internet radio enheter
PsiXBot är också att kunna ta tag i den information som lämnats till online-formulär, skicka utgående skräppost via Microsoft Outlook från offrets e-post adress, i hemlighet ta bort alla spår av skadliga e-postmeddelanden som skickas, och ta bort sig själv från ett infekterat system.
I ett blogginlägg förra veckan, Proofpoint sade malware nu innehåller flera nya funktioner. Särskilt den senaste versionen — v. 1.0.3 — inkluderar införandet av Googles DNS över HTTPS (DoH) service, ett protokoll som paket DNS-frågor som krypterade HTTPS-trafik snarare än klartext.
Vissa prover som agerar som nyttolast i exploit kits utnyttja den nya tekniken, där hårdkodad C2 domäner kan lösas med DoH.
“Genom att använda Googles DoH service, gör det möjligt för angripare utifrån att dölja DNS-förfrågan till C&C domän bakom HTTPS” Proofpoint säger. “Om SSL/TLS inspekteras av Mannen i Mitten (MitM), DNS-frågor för C&C-servern kommer att gå obemärkt förbi.”
CNET: 7 Android VPN-program som du bör aldrig använda på grund av deras privatliv synder
Dessutom, nya prover har även visat på en förändring i infrastruktur för att Snabbt Flux, en metod för att ändra DNS-poster med hjälp äventyras värd nätverk. Denna struktur har hittats i C2 domän svar, både via standard-DNS-frågor och DoH.
PsiXBot har också utrustats med en ny attack modul. Kodas som “PornModule,” den programvara som är mest sannolikt användes för sexploitation. Forskarna säger att PornModule kommer att övervaka öppna fönster och jämför sökord i en lista som lagras i en ordbok format. Om matchningar hittas, malware kommer att börja spela in audio och visuell information.
Beväpnad med dessa inspelningar, är det möjligt att skadlig programvara aktörer skulle då kunna försök att pressa och utpressning offer.
TechRepublic: Topp 5 lösenord alternativ
Malware kan upprätthålla uthållighet, pressa offer, och stjäla en mängd information, inklusive uppgifter relaterade till den lukrativa cryptocurrency industrin-är i det varma efterfrågan och, som sådan, kan vi förvänta oss PsiXBot operatörer att fortsätta att förfina sin skapelse.
“Denna malware är under aktiv utveckling och fortsätter att utvecklas,” Proofpoint säger. “Genom att utöka funktionerna i den ingår moduler och den samlade resurser av detta malware, skådespelare eller teamet bakom dess utveckling verkar som söker har paritet med andra liknande skadlig programvara på marknaden.”
Tidigare och relaterade täckning
Cybersäkerhet: 99% av e-attacker förlita sig på offren för att klicka på länkar
Skadliga Android-appar som innehåller Joker malware ställa upp butiken på Google Play
Nyligen upptäckte cyber-spionage malware missbruk Windows BITS-tjänsten
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter