Sihost

Prosvjedi u Hong Kongu traju već dulje vrijeme, a čini se da kineska vlada gubi strpljenje i pribjegava nekim inovativnim tehnikama. Nedavno je otkriveno da je Peking zaposlio glumca s prijetnjama da će ciljati prosvjednike u Hong Kongu. Ciljani prosvjednici dobili bi e-poštu maskiranu kao poruku studenta prava sa Zapada. U poruci se napadači pretvaraju da su zainteresirani za prosvjede i traže primatelja od „preporuka za prekid hongkonških prosvjeda“. Lažni e-mail napadači bi priložili tri datoteke - dvije originalne i jednu koja se pojavljuje kao ". RTF 'dokument, ali je'. LNK 'datoteka. Maskiranje ove oštećene datoteke kao bezopasnog dokumenta vrši se dvostrukim proširenjem, prilično starim, ali učinkovitim trikom.

Koristi datoteku '.PNG' maskiranu kao sliku

Oznaka '. Datoteke LNK 'služe kao poveznica, a u slučaju ove pekinške kampanje,'. Datoteka LNK dovodi do datoteke 'msiexec.exe', koja je originalna. Oznaka '. LNK 'datoteka priložena lažnoj e-pošti mora izvršiti datoteku' msiexec.exe 'i omogućiti je da preuzme datoteku s GitHub-a. Čini se da je dotična datoteka označena s ". PNG 'slika, ali djeluje kao izvršna datoteka. Ova izvršna datoteka koristi se za generiranje stotina lažnih datoteka. Među njima je i početni teret koji se nalazi u 'siHost64.'

sposobnosti

Mapa% APPDATA% sadržavala bi Python skriptu nazvanu "siHost64." Ova skripta namijenjena je:

  • Dobivajte upornost varajući Windows registar.
  • Uspostavite vezu s poslužiteljem C&C (Command & Control) poslužiteljem, koji djeluje uz pomoć DropBox API-ja.
  • Za hvatanje datoteka koje sadrže šifrirane naredbe koristi C&C poslužitelj. Nakon dešifriranja naredbi, prijetnja će ih izvršiti. Rezultati tih radnji pohranjuju se u novu šifriranu datoteku. Prijetnja će datoteku povremeno filtrirati na C&C poslužitelju.

U svojoj biti, prijetnja Sihostu je sredstvo za špijuniranje. Ovaj stražnji trojanski program omogućit će svojim operaterima da prikupljaju informacije od kompromitiranog domaćina i prenose ih na poslužitelj napadača.

Jasno je da Sihost zlonamjerni softver nije namijenjen ciljanju slučajnih korisnika. Ova prijetnja ima vrlo nizak omjer zaraze, a čini se da su žrtve u kineskoj regiji, zbog čega su stručnjaci vjerovali da je Sihost Trojan razvijen kako bi isključivo ciljao prosvjednike Honk Konga. Prijetnja je vrlo dobro razvijena i jasno je da su iskusni cyber-kriminalci stvorili trojanski Sihost backdoor.

U trendu

Nagledanije

Učitavam...