SLOTHFULMEDIA

SlothfulMedia dropper je droper koji je bio predmet izvješća koje je izdalo Ministarstvo za domovinsku sigurnost (DHS) kombinirajući nalaze Agencije za kibernetsku sigurnost i sigurnost infrastrukture (CISA) i Cyber National Mission Force (CNMF). Prijetnja zlonamjernim softverom dizajnirana je za ispuštanje dvije dodatne datoteke na ugroženi sustav - trojanskog programa za daljinski pristup (RAT), dok je druga datoteka odgovorna za brisanje RAT-a nakon što se postigne postojanost.

Glavna kapaljka ima zadatak preuzeti RAT korisni teret kao datoteku nazvanu 'mediaplayer.exe' i smjestiti je u mapu ' % AppData% \ Media \ '. Datoteka 'media.lnk' također se ispušta na isti put. Zatim preuzima datoteku u mapu ' % TEMP% ', daje joj nasumično ime od pet znakova i dodaje je s ekstenzijom .'exe '. Kako bi se osiguralo da korisnik teže primjećuje ovu datoteku, ona se stvara s atributom 'skriveni'. Datoteka s kapaljkom također je odgovorna za stvaranje mehanizma trajanja za RAT-a. To postiže stvaranjem procesa 'TaskFrame' koji će izvršiti RAT pri svakom pokretanju sustava. Komunikacija s infrastrukturom Command-and-Control (C2, C&C) ostvaruje se putem HTTP i HTTPS zahtjeva na domenu 'www [.] Sdvro.net'.

Sama korisna težina RAT-a sposobna je preuzeti potpunu kontrolu nad ugroženim računalom. Svoju aktivnost prikupljanja podataka započinje snimkom zaslona radne površine, imenovanjem "Filter3.jpg" i postavljanjem u lokalni direktorij. Zatim prikuplja razne sistemske podatke poput računala i korisničkog imena, verzije OS-a, upotrebe memorije i povezanih logičkih pogona. Informacije se pretvaraju u niz, zatim se raspršuju i šalju kao dio početne komunikacije s C2 poslužiteljem. Ako sve radi bez problema, RAT će tada pričekati izvršenje određene naredbe na zaraženom računalu. Može manipulirati datotekama, izvršavati i zaustavljati procese, nabrajati otvorene portove, pogone, datoteke, direktorije i usluge, snimati snimke zaslona; izmjena Registra, među ostalim prijetećim aktivnostima.

Datoteka sa slučajnim imenom koju isporučuje kapaljka odgovorna je za uklanjanje nekih znakova opoziva aktivnosti RAT-a. Modificira Registar kako bi osigurao da se glavna izvršna datoteka zlonamjernog softvera briše pri sljedećem ponovnom pokretanju sustava. Ključ registra koji koristi je:

'HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations

Podaci: \ ?? \ C: \ Korisnici \ \ AppData \ Local \ Temp \ wHPEO.exe. '

Korisnikova internetska povijest također će se izbrisati brisanjem datoteke 'index.dat'.