BlackMoon
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Popularity Rank: | 8,805 |
| Nível da Ameaça: | 80 % (Alto) |
| Computadores infectados: | 220 |
| Visto pela Primeira Vez: | July 22, 2016 |
| Visto pela Última Vez: | December 27, 2025 |
| SO (s) Afetados: | Windows |
O BlackMoon é um Trojan bancário que infectou mais de 160.000 dispositivos na Coreia do Sul. Os analistas de segurança do PC suspeitam que os trapaceiros responsáveis pela última campanha do BlackMoon possam ser de origem chinesa. O BlackMoon pode ter sido responsável pelo roubo de mais de 100.000 credenciais bancárias. Essa ameaça também é detectada como Banbra ou W32/Banbra. Este ataque BlackMoon foi detectado pela primeira vez em abril de 2016, através da identificação de um diretório de acesso aberto que fazia parte de um servidor de Comando e Controle do BlackMoon. Este diretório continha informações pessoais sobre as vítimas do BlackMoon. Os resultados foram surpreendentes: 110.130 vítimas em todo o mundo, 108.850 na Coreia do Sul, foram detalhadas neste relatório. É provável que o número seja bem maior, pois é improvável que esse servidor de Comando e Controle seja o único.
A campanha BlackMoon não terminou em abril de 2016. Os analistas de segurança do PC continuaram a observar o comprometido servidor BlackMoon Command and Control para saber mais sobre como os ataques são realizados. Desde maio de 2016, o BlackMoon reivindicou um adicional 62.659 vítimas, 61.255 na Coréia do Sul, através desse servidor de comando e controle sozinho. O BlackMoon é projetado para direcionar os bancos sul-coreanos em particular. Os arquivos de configuração do BlackMoon mostram que ele pode ser adaptado para atingir 61 bancos sul-coreanos diferentes.
Índice
O Modus Operandi do BlackMoon e Suas Possíveis Origens
O BlackMoon foi observado pela primeira vez em 2014. Este Trojan bancário usa arquivos de configuração automática de proxy (PAC) para assumir o tráfego de Internet da vítima e procurar endereços que correspondam a uma lista de URLs de bancos em seus arquivos de configuração. Sempre que o BlackMoon detecta que a vítima vai visitar um site bancário, o BlackMoon redireciona a vítima para um site de phishing, em vez de levá-la à sua página bancária online real. A vítima, acreditando estar no site do seu banco, irá inserir sua senha e informações de login, essencialmente entregando seus dados pessoais no processo. É provável que os recentes ataques do BlackMoon tenham sido perpetrados por um grupo de trapaceiros na China. A designação dos arquivos do servidor de Comando e Controle e os comentários do código fonte foram escritos em chinês. Este ataque BlackMoon, em particular, está provando ser bastante extenso, visando dezenas de milhares de usuários de computador. É preciso dar atenção a essa campanha de ameaças contínuas contra os usuários sul-coreanos como forma de proteger os usuários finais e conscientizá-los dos possíveis riscos do uso de serviços bancários on-line sem as devidas garantias de segurança.
Detalhes sobre os Ataques Mais Recentes do BlackMoon
O ataque BlackMoon não é particularmente original, típico da maioria desses ataques bancários em cavalos de Tróia. No entanto, as estratégias de distribuição e entrega do BlackMoon continuam a evoluir, tornando-o especialmente ameaçador neste último ataque. O BlackMoon pode ser entregue como um arquivo executável baixado de um site infectado. Este executável extrairá uma DLL que é executada em segundo plano e monitora a atividade on-line da vítima. Às vezes, o BlackMoon pode ser reconhecido facilmente porque fará com que o computador afetado exiba mensagens pop-up enigmáticas. A mensagem (geralmente escrita em coreano) que aparece quando os usuários de computador tentam entrar em seu site bancário diz:
O 'Financial Supervisory Service está realizando um processo de autenticação você instalou o certificado de segurança para este PC?
※ O certificado deve verificar a segurança e a privacidade dos incidentes de vazamento de informações no leilão usando os serviços bancários pela internet Os hóspedes evitam fraudes financeiras, veja abaixo.
※ Você não pode acessar o Internet Banking com mais segurança para receber o processo de certificação de segurança.
※ Por favor, clique no nome do banco que você usa para prosseguir com os procedimentos de autenticação segura.
A avaliação desses links leva os usuários de computador a sites bancários falsos que contêm conteúdo falso que foi desviado de páginas legítimas de bancos on-line. Os usuários de computador podem proteger melhor suas máquinas instalando um programa de segurança confiável que esteja totalmente atualizado e ativando todas as proteções de segurança, como uma autenticação em duas etapas, em suas contas bancárias on-line.
Relatório de análise
Informação geral
| Family Name: | Trojan.BlackMoon |
|---|---|
| Packers: | UPX |
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
3b70b79d70bf333a2288b9edf2555d58
SHA1:
3f2cadff4483882f19b1e78c0e708a5316dd062e
SHA256:
E9BBD154D7F012BE31B2D4128AD49205D301F80786CD25E04E4B81030A73A79F
Tamanho do Arquivo:
362.50 KB, 362496 bytes
|
|
MD5:
0fff84e37c91d56b731f0cfce1736c3b
SHA1:
4cfeb8d9def3dd366492933b721d2bd694c8cec1
SHA256:
4765C5582E1E7ECDCC849576EDA091BC2A3D783EDA7F222875C6F5ADCE316B6C
Tamanho do Arquivo:
3.36 MB, 3362816 bytes
|
|
MD5:
076f81bfd9f42aed9cb6d3b13d06ca2d
SHA1:
b178a77fc69ad8c9a014106fff064c26e325c9f1
SHA256:
9A619ACCDDC482C552FA328F1C7651FB120B21F42C53C35821FB62DB8D17F07F
Tamanho do Arquivo:
50.18 KB, 50176 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File has been packed
- File has exports table
- File is 32-bit executable
- File is either console or GUI application
Show More
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Nome | Valor |
|---|---|
| Company Name | Yma-yanmolove Ug Personal |
| File Description | Yma-yanmolove Ug 辅助器 [蜘蛛侠:破损维度)(Spider-Man: Shattered Dimensions] |
| File Version | 1.0.0.0 |
| Legal Copyright | Yma-yanmolove Ug Personal |
| Product Name | Yma-yanmolove Ug 游戏辅助器 |
| Product Version | 1.0.0.0 |
File Traits
- dll
- No Version Info
- ntdll
- packed
- WriteProcessMemory
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 542 |
|---|---|
| Potentially Malicious Blocks: | 235 |
| Whitelisted Blocks: | 30 |
| Unknown Blocks: | 277 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Meduza.A
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Anti Debug |
|
| User Data Access |
|
| Syscall Use |
Show More
|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| Other Suspicious |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\4cfeb8d9def3dd366492933b721d2bd694c8cec1_0003362816.,LiQMAxHB
|
