SLOTHFULMEDIA

SLOTHFULMEDIA Popis

SlothfulMedia je malware, který byl předmětem zprávy vydané ministerstvem vnitřní bezpečnosti (DHS) spojením poznatků z Agentury pro kybernetickou bezpečnost a infrastrukturu (CISA) a Cyber National Mission Force (CNMF). Malwarová hrozba je navržena tak, aby v ohroženém systému odstranila dva další soubory - Trojan pro vzdálený přístup (RAT), zatímco druhý soubor je odpovědný za odstranění RAT po dosažení perzistence.

Hlavní soubor kapátka má za úkol stáhnout užitečné zatížení RAT jako soubor s názvem 'mediaplayer.exe' a umístit jej do složky ' % AppData% \ Media \ '. Soubor 'media.lnk' je také vynechán na stejné cestě. Poté pokračuje ve stahování souboru do složky ' % TEMP% ', přidělí mu pětimístný náhodný název a přidá jej s příponou .'exe. Aby bylo zajištěno, že si uživatel bude tento soubor těžší všimnout, je vytvořen s atributem 'hidden'. Soubor kapátka je také zodpovědný za vytvoření mechanismu perzistence pro RAT. Dosahuje toho vytvořením procesu 'TaskFrame', který provede RAT při každém spuštění systému. Komunikace s infrastrukturou Command-and-Control (C2, C&C) je zajištěna prostřednictvím požadavků HTTP a HTTPS na doménu „www [.] Sdvro.net“.

Samotné užitečné zatížení RAT je schopné převzít úplnou kontrolu nad napadeným počítačem. Aktivitu shromažďování dat zahájí pořízením snímku obrazovky plochy, pojmenováním „Filter3.jpg“ a umístěním do místního adresáře. Poté shromažďuje různá systémová data, jako je název počítače a uživatele, verze operačního systému, využití paměti a připojené logické jednotky. Informace jsou převedeny na řetězec, poté hašovány a odeslány jako součást počáteční komunikace se serverem C2. Pokud vše běží hladce, RAT pak počká na provedení konkrétního příkazu na infikovaném počítači. Může manipulovat se soubory, spouštět a zastavovat procesy, vyčíslovat otevřené porty, disky, soubory, adresáře a služby, pořizovat snímky obrazovky; úprava registru, mimo jiné ohrožující činnosti.

Soubor s náhodným názvem doručeným kapátkem je zodpovědný za odstranění některých sdělovacích znaků aktivity RAT. Upravuje registr, aby bylo zajištěno, že hlavní spustitelný soubor malwaru bude odstraněn při příštím restartování systému. Klíč registru, který používá, je:

'HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations

Data: \ ?? \ C: \ Users \ \ AppData \ Local \ Temp \ wHPEO.exe. '

Historie uživatele na internetu bude také vymazána odstraněním souboru „index.dat“.