KingOfHearts

KingOfHearts er en bagdør skrevet i C ++, der er en del af et unavngivet sofistikeret trussels skuespillers værktøjssæt. Den samme gruppe hackere har observeret, at de bruger tre forskellige malware-familier i deres operationer. En sådan familie kaldet SlothfulMedia var genstand for en rapport offentliggjort af Department of Homeland Security CISA-agenturet.

I sin kerne er KingOfHearts udstyret med alle de grundlæggende funktioner, der forventes af en bagdørstrussel uden noget for fancy. Det har dog et brugerdefineret værktøj til at optage skærmbilleder. Bortset fra det kan den udføre kommandoer på den kompromitterede computer, få adgang til listen over kørende processer med mulighed for at afslutte enhver af dem samt have filsystemmanipuleringsfunktioner.

KingOfHearts distribueres sandsynligvis via phishing-angreb via e-mail med forgiftede Word-dokumentvedhæftninger. Når disse dokumenter er udført, indleder de et PowerShell-script, der har til opgave at downloade et billede, der bærer en base-64-kodet malware-nyttelast. KingOfHearts er blevet observeret som faldet som både en ' .exe ' eller ' .dll ' fil. Kommunikation med Command-and-Control (C2, C&C) infrastrukturen etableres via HTTP (S).

Ifølge forskerne, der analyserede det, er KingOfHearts udstyret med anti-debugging og virtualiseringsdetekteringsfunktioner.