Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Malware EYE Malware

EYE Malware

Med GoldSparrow i Malware
Oversæt til:
Dansk

EYE Malware er et værktøj efter udnyttelse, der er blevet observeret som en del af arsenal af en hackergruppe, der specifikt er målrettet mod transport- og rederier fra Kuwait. I de tilfælde, hvor EYE Malware blev opdaget, blev den implementeret, efter at de målrettede systemer allerede var kompromitteret af en anden malware, der tilhører en gruppe hackere kaldet Hisoka.

EYE Malwares rolle i angrebskæderne var at rydde op i de spor, der blev efterladt af trusselsaktørernes truende aktiviteter. Kort sagt er det en fejlsikker enhed, der har til opgave at skrotte identificerende artefakter efterladt af uautoriserede Remote Desktop Protocol (RDP) -forbindelser samt afslutte enhver proces oprettet af angriberne.

Åben udførelse, EYE Malware begynder at scanne for ethvert indgående loginforsøg, enten lokalt eller ved eksterne RDP-sessioner. Den viser også alle processer, der er oprettet, efter at EYE Malware er blevet startet. Når den registrerer en forbindelse, skriver EYE Malware den unikke streng 'vi venter på dig chef !!!' til konsollen, inden du fortsætter med at aktivere dens oprydningsrutiner. For det første vil truslen afslutte alle applikationer og værktøjer, der åbnes af hackere. Derefter fortsætter den med at fjerne alle nylige dokumentfiler ved hjælp af springliste via kommandoen:

Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Recent \\ * & Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Recent \\ AutomaticDestinations \\ * & Del / F / Q % APPDATA% \\ Microsoft \\ Windows \\ Seneste \\ CustomDestinations \\ *

EYE Malware skraber også bestemte værdier fra specifikke registreringsdatabasenøgler og 'Default.rdp'-filen for at fjerne eventuelle tegn på trusselsaktørens aktiviteter på den kompromitterede maskine. Registret, der er målrettet mod malware, er:

  • Software \\ Microsoft \\ Terminal Server Client \\ Standard
  • SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ WordWheelQuery
  • SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ TYPEDPATHS
  • Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ RunMRU

Endelig, som det sidste trin i programmeringen, vil EYE Malware forsøge at fjerne sig selv fra det målrettede system ved at udføre kommandoen taskkill / f / im & choice / CY / N / DY / T 3 & Del ' >. '

Relaterede indlæg

Trending

Mest sete

Indlæser...