Exaramel

Lo strumento di hacking Exaramel è una minaccia, individuata di recente in una delle campagne del gruppo di hacking TeleBots. Durante lo studio della minaccia, i ricercatori di malware hanno notato che il malware Exaramel è piuttosto simile a un altro strumento di hacking nell'arsenale del gruppo TeleBots chiamato Industroyer. Il gruppo di hacker TeleBots è stato molto attivo negli ultimi anni e ha fatto molti titoli con le sue campagne minacciose. La sua operazione più famosa ha avuto luogo nel 2015 e li ha coinvolti, causando un blackout, che non era mai stato realizzato con malware. Il gruppo TeleBots è anche quello dietro il famigerato Petya Ransomware , che ha afflitto il Web per un po '. La minaccia bloccherebbe l'MBR (Master Boot Record) del disco rigido sul sistema di destinazione.

Consegnato come payload secondario

Il malware Exaramel è un Trojan backdoor ed è distribuito come malware di secondo livello. Un altro degli strumenti di hacking del gruppo TeleBots aiuta la minaccia Exaramel a essere consegnata all'host passando di nascosto le misure di sicurezza sul computer. Il payload del primo stadio, che aiuta il malware Exaramel a compromettere il sistema, assicura anche l'individuazione di qualsiasi software o strumento, che può essere collegato al debug del malware. Se i risultati del test sono positivi, l'attacco verrà interrotto. Ciò renderà meno probabile che i ricercatori di malware mettano le mani sulla backdoor di Exaramel e la sezionino. Se l'attacco continua, tuttavia, i file della backdoor Exaramel verranno iniettati nella cartella Windows. Quindi, la minaccia farà in modo che all'avvio del sistema venga avviato un nuovo servizio chiamato "wsmprovav". Questo servizio è descritto come "Windows Checked AV", che ha lo scopo di farlo sembrare un servizio legittimo e non parte di un'operazione dannosa.

funzionalità

La chiave di registro di Windows memorizza tutte le configurazioni del malware Exaramel, che non è una tecnica molto comune. Il Trojan backdoor viene informato sul percorso di archiviazione dei file caricati, i dettagli del proxy, i dati relativi al server C&C (Command & Control) e consente alla minaccia di eseguire un controllo Web di base. Il Trojan backdoor Exaramel è in grado di:

• Esecuzione di script VBS.
• Scrittura di file sul sistema locale.
• Esecuzione del software.
• Caricamento dei file nel percorso di archiviazione menzionato in precedenza.
• Esecuzione dei comandi di shell.

Il gruppo di hacker TeleBots usava spesso il backdoor Trojan Exaramel all'unisono con gli strumenti di hacking CredRaptor e Mimikatz . Gli autori del malware Exaramel hanno anche sviluppato una versione della minaccia scritta nel linguaggio di programmazione Go, che consente allo strumento di hacking di colpire server e sistemi Linux.