Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Nuotolinio administravimo įrankiai Dvigubo naudingumo kenkėjiškų programų kampanija

Dvigubo naudingumo kenkėjiškų programų kampanija

Autorius Mezo, Nuotolinio administravimo įrankiai, Adware
Versti į:

Naujai atskleista kenkėjiškų programų kampanija sulaukia didelio kibernetinio saugumo bendruomenės dėmesio dėl savo gebėjimo vienu metu diegti dvi skirtingas grėsmes. Vienas užmaskuotas įkėlėjas naudojamas tiek „Gh0st RAT“, tiek „CloverPlus“ virusams toje pačioje užkrėstoje sistemoje įdiegti.

Šis derinys yra ir neįprastas, ir strategiškai labai svarbus. „Gh0st RAT“ suteikia visišką nuotolinę užkrėsto kompiuterio kontrolę, o „CloverPlus“ daugiausia dėmesio skiria naršyklės veiklos manipuliavimui, reklamos komponentų įterpimui ir pajamų generavimui per įkyrius iššokančius langus. Dvigubas diegimas leidžia kenkėjiškų programų kūrėjams palaikyti nuolatinę neteisėtą prieigą ir tuo pačiu metu realiuoju laiku gauti pajamų iš infekcijos.

Ši kampanija pabrėžia augančią tendenciją teikti kelis naudinguosius krūvius, kai užpuolikai maksimaliai padidina veiklos efektyvumą ir finansinę grąžą iš vieno įsilaužimo.

Užmaskavimo taktika: naudingosios apkrovos slėpimas

Šios kampanijos pagrindas – krautuvas, sukurtas slaptam veikimui. Savo išteklių skiltyje jis įterpia du užšifruotus naudinguosius duomenis, naudodamas maskavimo metodus, kad apeitų tradicinius aptikimo mechanizmus.

Vykdymas prasideda nuo „CloverPlus“ reklaminės programinės įrangos modulio, identifikuoto kaip „AdWare.Win32.CloverPlus“ ir susieto su vykdomuoju failu wiseman.exe. Šis komponentas keičia naršyklės paleidimo nustatymus ir įterpia nuolatinius iššokančius reklaminius langus.

Po to įkėlėjas įvertina savo vykdymo kelią. Jei jis neveikia iš sistemos %temp% katalogo, prieš tęsdamas darbą, jis sukuria savo kopiją ten. Kitas etapas apima „Gh0st RAT“ kliento modulio, kuris taip pat yra paslėptas kaip užšifruotas išteklius kenkėjiškų programų dvejetainiame faile, iššifravimą.

Iššifravus, kenkėjiška programa priskiria atsitiktinį failo pavadinimą naudingajai informacijai ir saugo ją atsitiktinai pavadintame aplanke, esančiame C:\ disko šakniniame kataloge, o tai dar labiau apsunkina aptikimą ir analizę.

Gyvenimas už žemės ribų: patikimi įrankiai, kenkėjiški ketinimai

Norėdama vykdyti iššifruotą paketą, kenkėjiška programa naudoja teisėtą „Windows“ programą „rundll32.exe“. Šis metodas leidžia vykdyti kenkėjišką kodą, prisidengiant patikimu sistemos procesu, taip žymiai sumažinant saugumo apsaugos suaktyvinimo tikimybę.

Kai „Gh0st RAT“ tampa aktyvus, jis pradeda profiliuoti užkrėstą sistemą rinkdamas unikalius identifikatorius, tokius kaip MAC adresas ir standžiojo disko serijos numeris. Šie duomenys naudojami aukai užregistruoti užpuoliko komandų ir valdymo infrastruktūroje, užtikrinant tikslų užkrėstų kompiuterių sekimą ir valdymą.

Nuolatiškumo mechanizmai: ilgalaikės prieigos užtikrinimas

Pagrindinis šios kampanijos tikslas – išlaikyti prieigą po sistemos perkrovimo. „Gh0st RAT“ užtikrina išlikimą naudodama kelis metodus, giliai įdiegtus operacinėje sistemoje:

„Windows Run“ registro rakto modifikavimas, siekiant užtikrinti automatinį vykdymą paleidžiant
Kenkėjiškos DLL failo registracija nuotolinės prieigos paslaugos kelyje, esančiame SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip.

Šie metodai suteikia kenkėjiškai programai SISTEMOS lygio privilegijas kaskart, kai paleidžiama susijusi paslauga, todėl nereikia tolesnės naudotojo sąveikos ir sustiprinama ilgalaikė kontrolė.

Aptikimas ir gynyba: kompromiso rodikliai

Šios kampanijos poveikis yra didelis tiek asmenims, tiek organizacijoms. Nors reklaminės programinės įrangos komponentas sutrikdo naršyklės veikimą ir padidina kenkėjiškos reklamos riziką, RAT komponentas leidžia vogti duomenis, registruoti klavišų paspaudimus, apeiti apsaugą ir gauti nuolatinę privilegijuotą prieigą.

Apsaugos komandos turėtų išlikti budrios ir stebėti šiuos įsilaužimo požymius:

  • „Rundll32.exe“ vykdymas įkeliant DLL failus arba nestandartinius failų plėtinius iš neįprastų arba įtartinų katalogų
  • Proceso veikla, kilusi iš aplanko %temp%
  • Neleistini registro vykdymo raktų arba „RemoteAccess“ paslaugos konfigūracijų pakeitimai
  • Pingo pagrindu veikiančių vėlavimų naudojimas siekiant išvengti smėlio dėžės aptikimo
  • Nenormalūs DNS srauto modeliai ir netikėti sistemos prieglobos failo pakeitimai

Iniciatyvus stebėjimas ir greitas reagavimas į šiuos signalus yra labai svarbūs siekiant sušvelninti šios sudėtingos dvigubos grėsmės kenkėjiškų programų kampanijos keliamą riziką.

Tendencijos

Patvirtinkite naują privatumo saugumo atnaujinimo...

Sukčiavimas, Šlamštas
Į netikėtus el. laiškus, reikalaujančius skubių veiksmų, visada reikėtų žiūrėti atsargiai. Kibernetiniai nusikaltėliai dažnai užmaskuoja kenkėjiškas žinutes kaip teisėtus pranešimus, kad pasinaudotų pasitikėjimu ir sukeltų paniką. Svarbu suprasti, kad tokios sukčiavimo akcijos kaip el. laiškai „Patvirtinti naują privatumo ir saugumo atnaujinimą“ nėra susijusios su jokiomis teisėtomis įmonėmis,...

Labiausiai žiūrima

Įkeliama...