Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Τραπεζικός Trojan Τραπεζικό Trojan Blackmoon

Τραπεζικό Trojan Blackmoon

Μέχρι το Mezo το Τραπεζικός Trojan, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Αναλυτές κυβερνοασφάλειας αποκάλυψαν μια ενεργή εκστρατεία εισβολής σε πολλαπλά στάδια που απευθύνεται σε Ινδούς πολίτες και οργανισμούς. Η επιχείρηση φαίνεται να έχει χαρακτήρα κυβερνοκατασκοπείας και βασίζεται σε ένα πολυεπίπεδο πλαίσιο backdoor για την απόκτηση μακροπρόθεσμης, μυστικής πρόσβασης σε παραβιασμένα συστήματα.

Ηλεκτρονικό ψάρεμα (phishing) ως ο αρχικός φορέας μόλυνσης

Η καμπάνια ξεκινά με email ηλεκτρονικού "ψαρέματος" (phishing) που μεταμφιέζονται σε επίσημη αλληλογραφία από το Τμήμα Φορολογίας Εισοδήματος της Ινδίας. Αυτά τα μηνύματα παρασύρουν τους παραλήπτες να κατεβάσουν ένα αρχείο ZIP με το πρόσχημα των ειδοποιήσεων φορολογικών προστίμων. Μόλις ανοιχτεί, το αρχείο ξεκινά την αλυσίδα μόλυνσης που τελικά επιτρέπει τη συνεχή παρακολούθηση και την κλοπή δεδομένων.

Οπλισμένο Αρχείο και Αόρατη Εκτέλεση

Το παραδοθέν αρχείο ZIP περιέχει πέντε στοιχεία, όλα κρυφά εκτός από ένα εκτελέσιμο αρχείο-δόλωμα με το όνομα 'Inspection Document Review.exe'. Αυτό το αρχείο χρησιμοποιείται για την παράπλευρη φόρτωση μιας κακόβουλης βιβλιοθήκης δυναμικών συνδέσμων που είναι ενσωματωμένη στο αρχείο. Το κακόβουλο DLL εκτελεί ελέγχους αποφυγής εντοπισμού σφαλμάτων και επικοινωνεί με έναν απομακρυσμένο διακομιστή εντολών και ελέγχου για την ανάκτηση του φορτίου επόμενου σταδίου.

Κλιμάκωση Προνομίων και Μεταμφίεση Διαδικασίας

Ο ληφθείς κώδικας τύπου shellcode αξιοποιεί μια τεχνική που βασίζεται σε COM για να παρακάμψει τον Έλεγχο Λογαριασμού Χρήστη (UAC), παρέχοντας αυξημένα δικαιώματα. Στη συνέχεια, τροποποιεί το δικό του Μπλοκ Περιβάλλοντος Διεργασίας (PEB) για να μιμηθεί τη νόμιμη διεργασία explorer.exe των Windows, μειώνοντας την πιθανότητα ανίχνευσης από εργαλεία ασφαλείας και αναλυτές.

Προσαρμοστική Παράδοση Φορτίου

Ένα επόμενο στάδιο, το '180.exe', ανακτάται από τον τομέα eaxwwyr[.]cn. Αυτό το αρχείο είναι ένα πρόγραμμα εγκατάστασης Inno Setup 32-bit που τροποποιεί τη ροή εκτέλεσης ανάλογα με το εάν υπάρχει συγκεκριμένο λογισμικό ασφαλείας στον μολυσμένο κεντρικό υπολογιστή, επιτρέποντας στο κακόβουλο λογισμικό να προσαρμόζει δυναμικά τις τακτικές αποφυγής του.

Αποφυγή Λογισμικού Ασφαλείας και Σύνδεση Blackmoon

Όταν εντοπιστεί αμυντικό λογισμικό, το κακόβουλο λογισμικό αποφεύγει την άμεση απενεργοποίηση. Αντίθετα, προσομοιώνει τις κινήσεις του ποντικιού για να πλοηγηθεί στη διεπαφή ασφαλείας και να προσθέσει αθόρυβα κακόβουλα στοιχεία στη λίστα εξαιρέσεων. Αυτή η δραστηριότητα διευκολύνεται από ένα DLL που αξιολογείται ως παραλλαγή της οικογένειας κακόβουλου λογισμικού Blackmoon (KBRanker), το οποίο ιστορικά συνδέεται με επιθέσεις σε επιχειρήσεις στη Νότια Κορέα, τις Ηνωμένες Πολιτείες και τον Καναδά από την εμφάνισή του το 2015.

Κατάχρηση ενός Νόμιμου Επιχειρηματικού Εργαλείου

Ένα από τα αρχεία που προστέθηκαν στη λίστα εξαιρέσεων είναι το «Setup.exe», ένα νόμιμο βοηθητικό πρόγραμμα από την SyncFutureTec Company Limited. Αυτό το πρόγραμμα εμφανίζει το «mysetup.exe», το οποίο αναγνωρίζεται ως SyncFuture TSM (Terminal Security Management), μια εμπορική λύση απομακρυσμένης παρακολούθησης και διαχείρισης που αναπτύχθηκε από την Nanjing Zhongke Huasai Technology Co., Ltd. Παρόλο που έχει σχεδιαστεί για διαχείριση επιχειρήσεων, σε αυτήν την καμπάνια επαναχρησιμοποιείται ως μια ολοκληρωμένη πλατφόρμα κατασκοπείας.

Υποστηρικτικά Στοιχεία και Χειρισμός Συστήματος

Μετά την ανάπτυξη, εγκαθίστανται πρόσθετα στοιχεία για την προετοιμασία και τον έλεγχο του περιβάλλοντος:

  • Μαζικά σενάρια που δημιουργούν προσαρμοσμένους καταλόγους, τροποποιούν λίστες ελέγχου πρόσβασης, αλλάζουν δικαιώματα επιφάνειας εργασίας και εκτελούν εργασίες καθαρισμού και επαναφοράς.
  • Ένα εκτελέσιμο αρχείο orchestrator, το 'MANC.exe', το οποίο συντονίζει τις υπηρεσίες και επιτρέπει την εκτεταμένη καταγραφή δραστηριοτήτων.

Επιχειρησιακός αντίκτυπος και στρατηγική σημασία

Κάνοντας κατάχρηση ενός νόμιμου εταιρικού εργαλείου παράλληλα με προσαρμοσμένο κακόβουλο λογισμικό, οι χειριστές αποκτούν απομακρυσμένο έλεγχο των μολυσμένων τελικών σημείων, συνεχή ορατότητα στη δραστηριότητα των χρηστών και έναν κεντρικό μηχανισμό για την εξαγωγή ευαίσθητων δεδομένων. Η συντονισμένη χρήση της παράπλευρης φόρτωσης DLL, της κλιμάκωσης δικαιωμάτων, της επαναχρησιμοποίησης εμπορικών εργαλείων, των μέτρων κατά της ανάλυσης και της αποφυγής λογισμικού ασφαλείας αντικατοπτρίζει υψηλό βαθμό τεχνικής ωριμότητας και σαφή πρόθεση διατήρησης διαρκούς, λεπτομερούς ελέγχου των παραβιασμένων συστημάτων.

Τάσεις

Securedwebsearch.com

Απατεώνες Ιστότοποι, Browser Hijackers, Πιθανώς ανεπιθύμητα προγράμματα
Είναι απολύτως κρίσιμο για τους χρήστες να προστατεύουν τις συσκευές τους από ενοχλητικά και αναξιόπιστα PUP (Δυνητικά Ανεπιθύμητα Προγράμματα). Αυτά τα προγράμματα συχνά φαίνονται ακίνδυνα, ωστόσο...

Απάτη μέσω email με αλλαγή κατάστασης λογαριασμού...

Phishing, Ανεπιθύμητη αλληλογραφία
Η επαγρύπνηση κατά την αντιμετώπιση απροσδόκητων email είναι ζωτικής σημασίας στο σημερινό τοπίο απειλών. Οι κυβερνοεγκληματίες μιμούνται συστηματικά γνωστές υπηρεσίες για να δημιουργήσουν μια ψευδή αίσθηση επείγοντος και εμπιστοσύνης. Τα λεγόμενα email «Άλλαξε η Κατάσταση Λογαριασμού cPanel» αποτελούν ένα σαφές παράδειγμα: είναι εντελώς ψεύτικα και δεν σχετίζονται με καμία νόμιμη εταιρεία,...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
27,335
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...