Threat Database Trojans CostaBricks

CostaBricks

CostaBricks è un caricatore personalizzato utilizzato per fornire la versione a 32 bit del malware SombRAT Backdoor. Entrambi gli strumenti fanno parte dell'arsenale di un gruppo di hacker chiamato CostaRicto che opera come mercenario a noleggio. Per CostaBricks, gli hacker hanno creato un'implementazione unica di un meccanismo di macchina virtuale responsabile dell'esecuzione di un bytecode incorporato che decodifica e inietta il payload finale in memoria. Questo meccanismo della macchina virtuale è composto da oggetti e classi C ++ e dispone di 20 diverse istruzioni che ciascuna ha da zero a tre operandi. Lo scopo di questo metodo è aumentare l'offuscamento delle attività minacciose svolte dalla minaccia. Ulteriori misure anti-analisi trovate nella minaccia includono l'intero codice non offuscato di un'applicazione open source legittima denominata Blink. Questo codice non viene mai eseguito.

Il bytecode utilizzato da CostaBricks è rimasto identico in tutti i diversi campioni della minaccia analizzati dagli esperti di infosec di BlackBerry. È lungo esattamente 1800 righe, ma la maggior parte sono semplicemente lanugine che sono state inserite a scopo di offuscamento. La programmazione effettiva del bytecode è responsabile della decodifica del payload del malware incorporato, del caricamento nella memoria del sistema compromesso e quindi della sua esecuzione. Il payload viene decrittografato tramite un algoritmo simmetrico personalizzato con chiavi hardcoded che possono essere descritte come una combinazione di SHL / SHR / SUB / ADD / XOR.

Tendenza

I più visti

Caricamento in corso...