Licenze multi-dispositivo (sconti per quantità)

Cambia regione

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Malware EYE Malware

EYE Malware

Entro GoldSparrow nel Malware
Traduci in:
Italiano

EYE Malware è uno strumento di post-sfruttamento che è stato osservato come parte dell'arsenale di un gruppo di hacker che prende di mira specificamente le compagnie di trasporto e di spedizione del Kuwait. Nei casi in cui è stato rilevato il malware EYE, è stato distribuito dopo che i sistemi mirati erano già stati compromessi da un altro malware appartenente a un gruppo di hacker chiamato Hisoka.

Il ruolo di EYE Malware nelle catene di attacco è stato quello di ripulire le tracce lasciate dalle attività minacciose degli attori della minaccia. In breve, è un dispositivo a prova di guasto incaricato di scartare qualsiasi artefatto di identificazione lasciato da connessioni RDP (Remote Desktop Protocol) non autorizzate, nonché di terminare qualsiasi processo creato dagli aggressori.

Esecuzione aperta, EYE Malware inizia a cercare eventuali tentativi di accesso in entrata sia localmente che tramite sessioni RDP remote. Elenca inoltre tutti i processi creati dopo l'avvio di EYE Malware. Quando rileva una connessione, il malware EYE scrive la stringa univoca "ti aspettiamo capo !!!" alla console prima di procedere con l'attivazione delle sue routine di pulizia. In primo luogo, la minaccia terminerà tutte le applicazioni e gli strumenti aperti dagli hacker. Quindi passa alla rimozione di tutti i file di documenti recenti utilizzando la Jump List tramite il comando:

Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Recent \\ * & Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Recent \\ AutomaticDestinations \\ * & Del / F / Q % APPDATA% \\ Microsoft \\ Windows \\ Recent \\ CustomDestinations \\ *

Il malware EYE estrae anche determinati valori da chiavi di registro specifiche e dal file "Default.rdp" per rimuovere eventuali segni potenziali sulle attività dell'attore della minaccia sulla macchina compromessa. I registri presi di mira dal malware sono:

  • Software \\ Microsoft \\ Terminal Server Client \\ Default
  • SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ WordWheelQuery
  • SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ TYPEDPATHS
  • Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ RunMRU

Infine, come ultimo passaggio della sua programmazione, il malware EYE tenterà di rimuoversi dal sistema di destinazione eseguendo il comando taskkill / f / im & choice / CY / N / DY / T 3 & Del >. "

Post correlati

Tendenza

I più visti

Caricamento in corso...