for Nul-Dag
| November 21, 2019 — 15:00 GMT (15:00 GMT)
| Emne: Sikkerhed
Ny variant af trojan, malware og sætter dine personlige oplysninger i fare
NanoCore ROTTE kan stjæle passwords, betalingsoplysninger, og hemmeligt at optage lyd og video med Windows-brugere.
En ny Trojansk hest, SectopRAT, er dukket op i naturen, som er i stand til at lancere en skjult sekundære skrivebordet for at styre browser sessioner på inficerede maskiner.
Den nye malware blev første gang opdaget af MalwareHunterTeam. I en tweet på 15 November, MalwareHunterTeam sagde, C# malware, udarbejdet den 13. November, var i stand til at “skabe [a] til og skjulte skrivebordet og kør [a] valgte browser, der med fuld kontrol.”
Dette fangede cybersecurity forskere fra G Data, der var i stand til at få en anden prøve, der er udarbejdet på 14 November, senere forelagt Virustotal.
Den første SectopRAT prøve, der er underskrevet af Sectigo RSA-Kode-Signering, CA og bruger en Flash-ikon, der henviser til, at den anden er ikke underskrevet. Begge prøver af fjernadgang Trojan (ROTTE) bruge vilkårlige tegn i deres navne, har skrive/udføre egenskaber, og gøre brug af ConfuserEx til formørkelse.
Ifølge forskerne, malware indeholder en RemoteClient.Punkter på Config-klasse med fire værdigenstande til konfiguration — IP, retip, filnavn, og mutexName.
IP-variabel omhandler den Trojanske ‘ s kommando-og-kontrol (C2) – server, der henviser til, at den retip variabel er designet til at oprette nye C2 IPs, at serveren kan tilsidesætte bruge “set-UP” – kommando.
Se også: Asruex Trojan udnytter gamle Office, Adobe fejl til bagdør dit system
Filnavn og mutexName, men er indstillet, men ikke er i aktiv brug.
Den indbyggede filnavn spoolsvc.exe der er tilføjet i registreringsdatabasen for vedholdenhed, en efterligning af de legitime Microsoft-tjeneste spoolsv.exe.
Når der er tilsluttet med sin C2, den Trojanske hest kan blive befalet til enten streame et active desktop-session eller opret en sekundær, hardcodede som “sdfsddfg”, som er skjult fra visning. Forskerne siger, at operatører af malware er i stand til at bruge “Init browser” kommando til at indlede en browser-session via den sekundære skrivebordet.
CNET: Facebook, Google ‘overvågning’ truer med menneskerettigheder, Amnesty International siger
Chrome, Firefox eller Internet Explorer browser sessioner kan blive iværksat. Malware er også i stand til at ændre browserens konfigurationer for at deaktivere sikkerhed barrierer og sandkasser. Men den browser stier er kodede og ikke bruge miljø-variabler.
Malware er også i stand til at sende oplysninger om computeren tilbage til C2, såsom navnet på det styresystem, processor data, centrale oplysninger og RAM til rådighed.
TechRepublic: Hvordan kan du beskytte dig mod hackere? En IBM social ingeniør rådgivning
En anden kommando, “Få codec info” er endnu ikke gennemført. Holdet mener, at den Trojanske hest er endnu ikke komplet, da SectopRAT “ser ufærdige og i dele, som i hast gjort.”
“Til trods for åbenlyse fejl som ved hjælp af indbyggede stier uden miljømæssige variabler til at få adgang til systemfiler, ROTTE arkitektur, brug af en anden computer og ændringer i din browser-konfiguration filer og parametre viser nogle interne viden, der er langt fra en grønskolling,” siger forskerne. “Det er meget muligt, at de første prøver i naturen er kun til test.”
Indikatorer for Kompromis (IoCs), kan ses her.
Tidligere og relaterede dækning
Når én ikke er nok: Denne lyssky malware vil inficere din PC med dual Trojanske heste
Denne gamle trojan, malware, er tilbage med et nyt trick til at hjælpe det med at gemme sig i et almindeligt syn
Magecart gruppe knyttet til Dridex bank Trojan, Carbanak
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 21, 2019 — 15:00 GMT (15:00 GMT)
| Emne: Sikkerhed