SLOTHFULMEDIA

SlothfulMedia on haittaohjelmien pudottaja, josta on tehty kotimaan turvallisuusministeriön (DHS) raportti yhdistämällä kyberturvallisuuden ja infrastruktuurin turvallisuusviraston (CISA) ja Cyber National Mission Force (CNMF) havainnot. Haittaohjelmien uhka on suunniteltu pudottamaan kaksi uutta tiedostoa vaarantuneeseen järjestelmään - etäkäyttöinen troijalainen (RAT), kun taas toinen tiedosto on vastuussa RAT: n poistamisesta pysyvyyden saavuttamisen jälkeen.

Pää pudotustiedoston tehtävänä on ladata RAT-hyötykuorma tiedostona nimeltä mediaplayer.exe ja sijoittaa se kansioon % AppData% \ Media \ . Myös media.lnk-tiedosto pudotetaan samalle polulle. Sitten se jatkaa tiedoston lataamista % TEMP% -kansioon, antaa sille viisimerkkisen satunnaisen nimen ja liittää sen .'exe-laajennukseen. Sen varmistamiseksi, että käyttäjällä on vaikeampaa huomata tätä tiedostoa, se luodaan piilotetulla attribuutilla. Dropper-tiedosto on myös vastuussa RAT: n pysyvyysmekanismin luomisesta. Se saavuttaa tämän luomalla 'TaskFrame' -prosessin, joka suorittaa RAT: n jokaisella järjestelmän käynnistyksellä. Viestintä Command-and-Control (C2, C&C) -infrastruktuurin kanssa saavutetaan HTTP- ja HTTPS-pyyntöjen avulla verkkotunnukseen 'www [.] Sdvro.net.

Itse RAT-hyötykuorma pystyy ottamaan täydellisen hallinnan vaarantuneesta tietokoneesta. Se aloittaa tiedonkeruutoimintonsa ottamalla kuvakaappauksen työpöydältä, nimeämällä sen 'Filter3.jpg' ja asettamalla sen paikalliseen hakemistoon. Sitten se kerää erilaisia järjestelmätietoja, kuten tietokoneen ja käyttäjänimen, käyttöjärjestelmän version, muistin käytön ja liitetyt loogiset asemat. Tiedot muotoillaan merkkijonoksi, sitten tiivistetään ja lähetetään osana ensimmäistä viestintää C2-palvelimen kanssa. Jos kaikki toimii sujuvasti, RAT odottaa sitten tietyn komennon suorittamista tartunnan saaneelle koneelle. Se voi manipuloida tiedostoja, suorittaa ja pysäyttää prosesseja, luetella avoimia portteja, asemia, tiedostoja, hakemistoja ja palveluja, ottaa kuvakaappauksia; rekisterin muokkaaminen muun uhkaavan toiminnan ohella.

Tippaajan toimittama satunnaisen nimen tiedosto on vastuussa joidenkin RAT: n toiminnan merkkivalojen poistamisesta. Se muuttaa rekisteriä sen varmistamiseksi, että haittaohjelman pääohjelmatiedosto poistetaan järjestelmän uudelleenkäynnistyksen yhteydessä. Sen käyttämä rekisteriavain on:

'HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations

Tiedot: \ ?? \ C: \ Käyttäjät \ <käyttäjä> \ AppData \ Local \ Temp \ wHPEO.exe. '

Käyttäjän Internet-historia myös pyyhitään poistamalla index.dat-tiedosto.