SLOTHFULMEDIA

SLOTHFULMEDIA Descrizione

SlothfulMedia è un contagocce di malware che è stato oggetto di un rapporto pubblicato dal Department of Homeland Security (DHS) combinando i risultati della Cybersecurity and Infrastructure Security Agency (CISA) e della Cyber National Mission Force (CNMF). La minaccia malware è progettata per rilasciare due file aggiuntivi sul sistema compromesso: un Trojan di accesso remoto (RAT), mentre l'altro file è responsabile dell'eliminazione del RAT dopo aver ottenuto la persistenza.

Il file dropper principale ha il compito di scaricare il payload RAT come un file denominato "mediaplayer.exe" e di inserirlo nella cartella " % AppData% \ Media \ ". Anche un file "media.lnk" viene rilasciato nello stesso percorso. Quindi procede al download di un file nella cartella " % TEMP% ", assegnandogli un nome casuale di cinque caratteri e aggiungendolo con l'estensione .'exe ". Per garantire che l'utente abbia più difficoltà a notare questo file, viene creato con un attributo "nascosto". Il file dropper è anche responsabile della creazione del meccanismo di persistenza per RAT. Ottiene ciò creando un processo "TaskFrame" che eseguirà il RAT a ogni avvio del sistema. La comunicazione con l'infrastruttura Command-and-Control (C2, C&C) avviene tramite richieste HTTP e HTTPS al dominio "www [.] Sdvro.net".

Lo stesso payload RAT è in grado di assumere il controllo completo del computer compromesso. Inizia la sua attività di raccolta dati acquisendo uno screenshot del desktop, nominandolo "Filter3.jpg" e inserendolo nella directory locale. Raccoglie quindi vari dati di sistema come computer e nome utente, versione del sistema operativo, utilizzo della memoria e unità logiche collegate. Le informazioni vengono trasformate in una stringa, quindi sottoposte a hashing e inviate come parte della comunicazione iniziale con il server C2. Se tutto funziona senza intoppi, il RAT attenderà l'esecuzione di un comando specifico sulla macchina infetta. Può manipolare file, eseguire e interrompere processi, enumerare porte aperte, unità, file, directory e servizi, acquisire schermate; modificare il registro, tra le altre attività minacciose.

Il file con il nome casuale consegnato dal contagocce è responsabile dell'eliminazione di alcuni segni rivelatori dell'attività del RAT. Modifica il registro per garantire che il principale eseguibile del malware venga eliminato al successivo riavvio del sistema. La chiave di registro che utilizza è:

"HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations

Dati: \ ?? \ C: \ Users \ \ AppData \ Local \ Temp \ wHPEO.exe. "

Anche la cronologia Internet dell'utente verrà cancellata eliminando il file "index.dat".