SLOTHFULMEDIA

SLOTHFULMEDIA Beskrivelse

SlothfulMedia er en malware-dropper, der var genstand for en rapport udgivet af Department of Homeland Security (DHS) ved at kombinere fund fra Cybersecurity and Infrastructure Security Agency (CISA) og Cyber National Mission Force (CNMF). Malwaretruslen er designet til at droppe to ekstra filer på det kompromitterede system - en Remote Access Trojan (RAT), mens den anden fil er ansvarlig for at slette RAT, når persistens er opnået.

Hoveddropperfilen har til opgave at downloade RAT-nyttelasten som en fil med navnet 'mediaplayer.exe' og placere den i mappen ' % AppData% \ Media \ '. En 'media.lnk' fil falder også i samme sti. Derefter fortsætter det med at downloade en fil i mappen ' % TEMP% ', give den et tilfældigt navn på fem tegn og tilføje den med udvidelsen .'exe '. For at sikre, at brugeren har sværere med at bemærke denne fil, oprettes den med en 'skjult' attribut. Dropper-filen er også ansvarlig for at oprette persistensmekanismen for RAT. Det opnår dette ved at oprette en 'TaskFrame'-proces, der udfører RAT ved hver systemstart. Kommunikation med Command-and-Control (C2, C&C) -infrastrukturen opnås gennem HTTP- og HTTPS-anmodninger til domænet 'www [.] Sdvro.net'.

Selve RAT-nyttelasten er i stand til at tage fuld kontrol over den kompromitterede computer. Det starter sin dataindsamlingsaktivitet ved at tage et skærmbillede af skrivebordet, navngive det 'Filter3.jpg' og placere det i den lokale bibliotek. Det indsamler derefter forskellige systemdata såsom computer- og brugernavn, OS-version, hukommelsesforbrug og tilsluttede logiske drev. Oplysningerne omdannes til en streng, derefter hashes og sendes som en del af den indledende kommunikation med C2-serveren. Hvis alt kører problemfrit, vil RAT derefter vente på, at en bestemt kommando udføres på den inficerede maskine. Det kan manipulere filer, udføre og stoppe processer, tælle åbne porte, drev, filer, mapper og tjenester, tage skærmbilleder; ændring af registreringsdatabasen, blandt andre truende aktiviteter.

Filen med det tilfældige navn, der leveres af dropper, er ansvarlig for at rydde nogle af tegnene på RAT's aktivitet. Det ændrer registreringsdatabasen for at sikre, at malwareens vigtigste eksekverbare slettes ved næste genstart af systemet. Registreringsnøglen, den bruger, er:

'HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations

Data: \ ?? \ C: \ Brugere \ \ AppData \ Local \ Temp \ wHPEO.exe. '

Brugerens internethistorik slettes også ved at slette filen 'index.dat'.