Threat Database Malware Gelsevirine

Gelsevirine

Gelsevirinie viene consegnato alle macchine compromesse da un caricatore intermedio chiamato Gelsemicine. Gelsevirinie è l'ultimo modulo malware distribuito negli attacchi del gruppo Gelsemium APT (Advanced Persistent Threat). Il caricatore esiste in due versioni differenti e quella che viene eseguita dipende dal fatto che l'utente infetto disponga o meno di privilegi amministrativi. Se la vittima ha i privilegi richiesti, Gelsevirine verrà rilasciato in C:\Windows\System32\spool\prtprocs\x64\winprint.dll, altrimenti verrà consegnato come DLL denominata chrome_elf.dll in CommonAppData/Google/Chrome/ Applicazione/Libreria/ubicazione.

Una volta distribuito sul sistema di destinazione, Gelsevirine avvia una configurazione complessa per raggiungere e mantenere la comunicazione con il suo server di comando e controllo. Innanzitutto, si basa su una DLL incorporata per svolgere il ruolo di man-in-the-middle. Inoltre, una configurazione separata è responsabile della gestione dei vari tipi di protocollo come tcp, udp, http e https.

I ricercatori di Infosec sono stati in grado di rilevare diversi plug-in recuperati e avviati da Gelsevirine, ciascuno con una funzionalità diversa. Il plug-in FxCoder è uno strumento di compressione-decompressione che facilita la comunicazione C&C. Successivamente, c'è il plug-in Utility in grado di manipolare il file system sul dispositivo compromesso. L'ultimo dei plug-in osservati è Inter, uno strumento che consente l'iniezione di DLL nei processi scelti.

Tendenza

I più visti

Caricamento in corso...