KingOfHearts

KingOfHearts è una backdoor scritta in C ++ che fa parte del set di strumenti di un sofisticato attore di minacce senza nome. È stato osservato che lo stesso gruppo di hacker utilizza tre diverse famiglie di malware nelle proprie operazioni. Una di queste famiglie chiamata SlothfulMedia è stata oggetto di un rapporto pubblicato dall'agenzia CISA del Department of Homeland Security.

Fondamentalmente, KingOfHearts è dotato di tutte le funzioni di base che ci si aspetta da una minaccia backdoor senza nulla di troppo stravagante. Tuttavia, ha un'utilità personalizzata per acquisire schermate. Oltre a ciò, può eseguire comandi sul computer compromesso, accedere all'elenco dei processi in esecuzione con l'opzione di terminare uno qualsiasi di essi, oltre ad avere capacità di manipolazione del file system.

KingOfHearts è molto probabilmente distribuito tramite attacchi di phishing e-mail con allegati di documenti Word avvelenati. Una volta eseguiti, questi documenti avviano uno script di PowerShell incaricato di scaricare un'immagine che trasporta un payload malware con codifica base 64. È stato osservato che KingOfHearts viene eliminato sia come file " .exe " che " .dll ". La comunicazione con l'infrastruttura Command-and-Control (C2, C&C) viene stabilita tramite HTTP (S).

Secondo i ricercatori che lo hanno analizzato, KingOfHearts è dotato di funzionalità anti-debugging e di rilevamento della virtualizzazione.