Exaramel

Exaramel Descrizione

Lo strumento di hacking Exaramel è una minaccia, individuata di recente in una delle campagne del gruppo di hacking TeleBots. Durante lo studio della minaccia, i ricercatori di malware hanno notato che il malware Exaramel è piuttosto simile a un altro strumento di hacking nell'arsenale del gruppo TeleBots chiamato Industroyer. Il gruppo di hacker TeleBots è stato molto attivo negli ultimi anni e ha fatto molti titoli con le sue campagne minacciose. La sua operazione più famosa ha avuto luogo nel 2015 e li ha coinvolti, causando un blackout, che non era mai stato realizzato con malware. Il gruppo TeleBots è anche quello dietro il famigerato Petya Ransomware , che ha afflitto il Web per un po '. La minaccia bloccherebbe l'MBR (Master Boot Record) del disco rigido sul sistema di destinazione.

Consegnato come payload secondario

Il malware Exaramel è un Trojan backdoor ed è distribuito come malware di secondo livello. Un altro degli strumenti di hacking del gruppo TeleBots aiuta la minaccia Exaramel a essere consegnata all'host passando di nascosto le misure di sicurezza sul computer. Il payload del primo stadio, che aiuta il malware Exaramel a compromettere il sistema, assicura anche l'individuazione di qualsiasi software o strumento, che può essere collegato al debug del malware. Se i risultati del test sono positivi, l'attacco verrà interrotto. Ciò renderà meno probabile che i ricercatori di malware mettano le mani sulla backdoor di Exaramel e la sezionino. Se l'attacco continua, tuttavia, i file della backdoor Exaramel verranno iniettati nella cartella Windows. Quindi, la minaccia farà in modo che all'avvio del sistema venga avviato un nuovo servizio chiamato "wsmprovav". Questo servizio è descritto come "Windows Checked AV", che ha lo scopo di farlo sembrare un servizio legittimo e non parte di un'operazione dannosa.

funzionalità

La chiave di registro di Windows memorizza tutte le configurazioni del malware Exaramel, che non è una tecnica molto comune. Il Trojan backdoor viene informato sul percorso di archiviazione dei file caricati, i dettagli del proxy, i dati relativi al server C&C (Command & Control) e consente alla minaccia di eseguire un controllo Web di base. Il Trojan backdoor Exaramel è in grado di:

  • Esecuzione di script VBS.
  • Scrittura di file sul sistema locale.
  • Esecuzione del software.
  • Caricamento dei file nel percorso di archiviazione menzionato in precedenza.
  • Esecuzione dei comandi di shell.

Il gruppo di hacker TeleBots usava spesso il backdoor Trojan Exaramel all'unisono con gli strumenti di hacking CredRaptor e Mimikatz . Gli autori del malware Exaramel hanno anche sviluppato una versione della minaccia scritta nel linguaggio di programmazione Go, che consente allo strumento di hacking di colpire server e sistemi Linux.

Lascia un commento

NON utilizzare questo sistema di commenti per domande di supporto o fatturazione. Per richieste di supporto tecnico SpyHunter, si prega di contattare direttamente il nostro team di supporto tecnico aprendo un ticket di supporto clienti tramite SpyHunter. Per problemi di fatturazione, fai riferimento alla nostra pagina "Domande o problemi di fatturazione?". Per domande generali (reclami, legali, stampa, marketing, copyright), visita la nostra pagina "Richieste di informazioni e feedback".


HTML non è consentito.