Оферта за отстъпка за множество лицензи
База данни за заплахи Инструменти за отдалечено администриране Кампания с двоен полезен товар за злонамерен софтуер

Кампания с двоен полезен товар за злонамерен софтуер

До Mezo през Инструменти за отдалечено администриране, Рекламен софтуерг
Превод на:

Новоразкрита кампания със зловреден софтуер привлича значително внимание в общността по киберсигурност поради способността си да внедрява две различни заплахи едновременно. Използва се един обфускиран зареждащ софтуер, за да се доставят както Gh0st RAT, така и CloverPlus на една и съща компрометирана система.

Тази комбинация е едновременно необичайна и силно стратегическа. Gh0st RAT позволява пълен дистанционен контрол над заразената машина, докато CloverPlus се фокусира върху манипулиране на активността на браузъра, инжектиране на рекламни компоненти и генериране на приходи чрез натрапчиви изскачащи прозорци. Двойното внедряване позволява на злонамерените лица да поддържат постоянен неоторизиран достъп, като същевременно монетизират инфекцията в реално време.

Тази кампания подчертава нарастващата тенденция към доставка на множество полезни товари, при която нападателите максимизират оперативната ефективност и финансовата възвръщаемост от едно единствено компрометиране.

Тактики за обфускация: Скриване на полезния товар

Зареждащият механизъм в основата на тази кампания е проектиран за скритост. Той вгражда два криптирани полезни товара в секцията си с ресурси, използвайки техники за обфускация, за да избегне традиционните механизми за откриване.

Изпълнението започва с рекламния модул CloverPlus, идентифициран като AdWare.Win32.CloverPlus и свързан с изпълним файл с име wiseman.exe. Този компонент променя настройките за стартиране на браузъра и инжектира постоянни изскачащи реклами.

След това, зареждащата програма оценява пътя си на изпълнение. Ако не работи от системната директория %temp%, тя създава копие на себе си там, преди да продължи. Следващият етап включва декриптиране на клиентския модул Gh0st RAT, който също е скрит като криптиран ресурс в двоичния файл на зловредния софтуер.

След декриптиране, зловредният софтуер присвоява произволно име на файла на полезния товар и го съхранява в произволно именувана папка, разположена в корена на C:\ устройството, което допълнително усложнява откриването и анализа.

Да живееш от земята: Надеждни инструменти, Злонамерени намерения

За да изпълни декриптирания полезен товар, зловредният софтуер използва легитимната помощна програма за Windows rundll32.exe. Този подход позволява изпълнението на злонамерен код под прикритието на надежден системен процес, което значително намалява вероятността от задействане на защитни механизми.

След като се активира, Gh0st RAT започва да профилира компрометираната система, като събира уникални идентификатори като MAC адрес и сериен номер на твърдия диск. Тези данни се използват за регистриране на жертвата в инфраструктурата за командване и контрол на нападателя, осигурявайки прецизно проследяване и управление на заразените хостове.

Механизми за устойчивост: Осигуряване на дългосрочен достъп

Запазването на достъпа след рестартиране на системата е ключова цел на тази кампания. Gh0st RAT постига устойчивост чрез множество техники, вградени дълбоко в операционната система:

Модификация на ключа на системния регистър „Изпълнение“ на Windows, за да се осигури автоматично изпълнение при стартиране
Регистрация на злонамерен DLL файл в пътя на услугата за отдалечен достъп под SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Тези методи предоставят на зловредния софтуер привилегии на системно ниво всеки път, когато се стартира свързаната услуга, елиминирайки необходимостта от по-нататъшно взаимодействие с потребителя и засилвайки дългосрочния контрол.

Откриване и защита: Индикатори за компрометиране

Въздействието на тази кампания е значително както за отделни лица, така и за организации. Докато рекламният компонент нарушава функционалността на браузъра и увеличава излагането на злонамерена реклама, RAT компонентът позволява кражба на данни, регистриране на натискания на клавиши, заобикаляне на защитата и постоянен привилегирован достъп.

Екипите по сигурността трябва да останат бдителни и да следят за следните индикатори за компрометиране:

  • Изпълнение на rundll32.exe, зареждащо DLL файлове или нестандартни файлови разширения от необичайни или подозрителни директории
  • Дейност на процеса, произхождаща от папката %temp%
  • Неоторизирани промени в ключовете за изпълнение в системния регистър или конфигурациите на услугата за отдалечен достъп
  • Използване на закъснения, базирани на ping, за избягване на откриване в sandbox
  • Необичайни модели на DNS трафик и неочаквани промени в системния файл hosts

Проактивното наблюдение и бързата реакция на тези сигнали са от решаващо значение за смекчаване на рисковете, породени от тази сложна кампания със зловреден софтуер с двойна заплаха.

Тенденция

Зловреден софтуер SnappyClient

Зловреден софтуер, Инструменти за отдалечено администриране
SnappyClient е високотехнологичен зловреден софтуер, написан на C++ и разпространяван чрез програма за зареждане, известна като HijackLoader. Той функционира като троянски кон за отдалечен достъп...

Forestrievic.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Безопасното сърфиране в мрежата изисква постоянна бдителност. Измамническите уебсайтове са специално проектирани да експлоатират доверието на потребителите чрез подвеждащи техники, а една все...

Потвърдете нова актуализация за поверителност и...

Фишинг, Спам
Неочакваните имейли, които изискват спешни действия, винаги трябва да се третират с повишено внимание. Киберпрестъпниците често маскират злонамерени съобщения като легитимни известия, за да злоупотребят с доверието и да предизвикат паника. Важно е да се разбере, че измами като имейлите „Потвърдете новата актуализация на поверителността и сигурността“ не са свързани с никакви легитимни компании,...

Най-гледан

Зареждане...