0
Il Trojan backdoor è chiamato dopo il Bateleur Aquila.
Immagine: iStock
Un noto gruppo di hacker è tornato con un nuovo metodo di distribuzione di malware trojan con l’obiettivo di creare backdoor nel network di catene di ristorazione attraverso gli stati UNITI.
Soprannominato Bateleur – dopo una razza di eagle – dai ricercatori della Proofpoint che l’ha scoperto, questo backdoor è pensato che il lavoro di Carbanak, un gruppo che si concentra i suoi attacchi su obiettivi finanziari.
Il gruppo ha rubato più di $1 miliardi dalle banche di tutto il mondo e si pensa che il gruppo è dietro una serie di altri attacchi.
Carbanak in precedenza mirati organizzazioni di ospitalità compresi i rivenditori al dettaglio, dei servizi commerciali e fornitori, ma questa volta è il tentativo di infiltrarsi in catene di ristoranti, per creare una backdoor in sistemi Windows, con l’obiettivo di prendere screenshot, rubare le password, l’esecuzione di comandi e di più.
Al fine di aumentare le probabilità di infezione senza residuo rilevato, Javascript backdoor è accompagnata da una nuova macro e anti-analisi e sandbox tecniche di evasione al fine di mantello attività.
Come con molti attacchi, e-mail di phishing è usato per attirare il target. Il messaggio è stato inviato da un indirizzo di Outlook o Gmail e pretende di contenere informazioni su un discusso in precedenza il check-in un documento di Word.
E-mail di phishing utilizzato per distribuire malware per obiettivi.
Immagine: Proofpoint
L’allegato sostiene che il documento è criptato e protetto da Outlook Proteggere Servizio’ o ‘di Google Documenti Proteggere Servizio, a seconda dell’indirizzo di invio del messaggio. In entrambi i casi, i nomi di autentica società di antivirus apparire in JScript documento contagocce, al fine di attirare la vittima in un falso senso di sicurezza.
Se l’utente è indotto l’attivazione di modifica del documento, il documento accede al payload dannoso con una serie di attività pianificate nel tentativo di evitare il rilevamento.
I ricercatori descrivono il Jscript “robusta capacità di” anti-funzionalità di sandbox e anti-analisi di offuscamento. È anche in grado di recuperare infetti informazioni di sistema, che elenca i processi in esecuzione, esecuzione di comandi personalizzati e Script di PowerShell, disinstallare e aggiornare se stesso e prendere screenshot.
In teoria, Bateleur può anche sottrarre le password, anche se questo particolare istruzione richiede un modulo aggiuntivo dal server di comando e controllo in ordine al lavoro. Attualmente, il malware manca di alcune delle caratteristiche necessarie per fare questo, né i server di backup, ma i ricercatori prevedono di essere aggiunto in un prossimo futuro, soprattutto data la persistente natura degli attaccanti.
Proofpoint hanno identificato Carbanak come gli autori di questa campagna e la nuova backdoor con “un alto grado di certezza” a causa di alcuni segni rivelatori.
In primo luogo, simile messaggi sono stati inviati agli stessi obiettivi, ma il tentativo di recapitare i messaggi contenenti GGLDR, uno script dannoso associata con Carbanak del VBScript malware.
In secondo luogo, un Meterpreter in memoria di DLL injection downloader script chiamato TinyMet è stata avvistata essere scaricato da Bateleur, un processo che è stato ripetutamente osservato utilizzati dal gruppo.
I ricercatori hanno inoltre notare che la Powershell password grabber utilizzati da Bateleur contiene un identico libreria a collegamento Dinamico come quello trovato embedded in GGLDR campioni.
“Il Bateleur JScript backdoor e nuova macro-laden documenti sembrano essere l’ultima del gruppo in espansione di strumenti, fornendo nuovi mezzi di infezione, altri modi di nascondere la loro attività, e la crescente capacità di rubare le informazioni e l’esecuzione di comandi direttamente sul computer delle vittime,” Proofpoint ricercatori Matteo Mesa e Darien Huss, ha detto in un post sul blog.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Russo ditta di sicurezza nega link per Carbanak TrojanChipotle ultimo bug fa male il vostro portafoglio, non il vostro stomaco [CNET]Wendy ammette carta di credito hack è molto peggio di prima thoughtCybercrime Inc: Come l’hacking bande modellare se stessi in un grande business’Invisible’ malware nascosto in software di fiducia, infiltrazione di imprese in tutto il mondo [TechRepublic]
0