Vairāku licenču atlaides piedāvājums
Draudu datu bāze Attālās administrēšanas rīki Divkāršas slodzes ļaunprogrammatūras kampaņa

Divkāršas slodzes ļaunprogrammatūras kampaņa

Līdz Mezo. gadam Attālās administrēšanas rīki, Adware. gadā
Tulkot uz:

Jaunatklāta ļaunprogrammatūras kampaņa piesaista ievērojamu uzmanību kiberdrošības kopienā, jo tā spēj vienlaikus izvietot divus dažādus apdraudējumus. Viens apmulsināts ielādētājs tiek izmantots, lai vienā un tajā pašā apdraudētajā sistēmā piegādātu gan Gh0st RAT, gan CloverPlus.

Šī kombinācija ir gan neparasta, gan ļoti stratēģiska. Gh0st RAT nodrošina pilnīgu attālinātu inficētās iekārtas kontroli, savukārt CloverPlus koncentrējas uz pārlūkprogrammas darbības manipulēšanu, reklāmas komponentu ievietošanu un ieņēmumu gūšanu, izmantojot uzmācīgus uznirstošos logus. Divkāršā izvietošana ļauj apdraudējumu dalībniekiem uzturēt pastāvīgu nesankcionētu piekļuvi, vienlaikus reāllaikā monetizējot infekciju.

Šī kampaņa izceļ pieaugošo tendenci uz vairāku lietderīgo datu piegādi, kur uzbrucēji maksimāli palielina darbības efektivitāti un finansiālo atdevi no viena apdraudējuma.

Aptumšošanas taktika: lietderīgās slodzes slēpšana

Šīs kampaņas centrālais ielādētājs ir izstrādāts slepenai darbībai. Tas savā resursu sadaļā iegulda divus šifrētus vērtumus, izmantojot obfukcēšanas metodes, lai apietu tradicionālos atklāšanas mehānismus.

Izpilde sākas ar CloverPlus reklāmprogrammatūras moduli, kas identificēts kā AdWare.Win32.CloverPlus un saistīts ar izpildāmo failu ar nosaukumu wiseman.exe. Šis komponents maina pārlūkprogrammas startēšanas iestatījumus un ievieto pastāvīgas uznirstošās reklāmas.

Pēc tam ielādētājs novērtē savu izpildes ceļu. Ja tas nedarbojas no sistēmas %temp% direktorija, tas pirms darbības turpināšanas izveido savu kopiju tur. Nākamais posms ietver Gh0st RAT klienta moduļa atšifrēšanu, kas arī ir paslēpts kā šifrēts resurss ļaunprogrammatūras binārajā failā.

Pēc atšifrēšanas ļaunprogramma piešķir nejaušu faila nosaukumu vērtajam failam un saglabā to nejauši nosauktā mapē, kas atrodas C:\ diska saknē, vēl vairāk sarežģot noteikšanu un analīzi.

Dzīvošana ārpus zemes: uzticami rīki, ļaunprātīgs nodoms

Lai izpildītu atšifrēto vērtumu, ļaunprogrammatūra izmanto likumīgu Windows utilītu rundll32.exe. Šī pieeja ļauj izpildīt ļaunprātīgu kodu, aizbildinoties ar uzticamu sistēmas procesu, ievērojami samazinot drošības aizsardzības aktivizēšanas iespējamību.

Kad Gh0st RAT ir aktīvs, tas sāk profilēt apdraudēto sistēmu, apkopojot unikālus identifikatorus, piemēram, MAC adresi un cietā diska sērijas numuru. Šie dati tiek izmantoti, lai reģistrētu upuri uzbrucēja vadības un kontroles infrastruktūrā, nodrošinot precīzu inficēto saimniekdatoru izsekošanu un pārvaldību.

Noturības mehānismi: ilgtermiņa piekļuves nodrošināšana

Piekļuves saglabāšana pēc sistēmas pārstartēšanas ir šīs kampaņas galvenais mērķis. Gh0st RAT panāk noturību, izmantojot vairākas metodes, kas dziļi iestrādātas operētājsistēmā:

Windows Run reģistra atslēgas modifikācija, lai nodrošinātu automātisku izpildi startēšanas laikā
Ļaunprātīgas DLL faila reģistrēšana attālās piekļuves pakalpojuma ceļā sadaļā SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Šīs metodes piešķir ļaunprogrammatūrai SISTĒMAS līmeņa privilēģijas ikreiz, kad tiek palaists saistītais pakalpojums, novēršot nepieciešamību pēc turpmākas lietotāja mijiedarbības un pastiprinot ilgtermiņa kontroli.

Atklāšana un aizsardzība: kompromitācijas rādītāji

Šīs kampaņas ietekme ir ievērojama gan indivīdiem, gan organizācijām. Kamēr reklāmprogrammatūras komponents traucē pārlūkprogrammas funkcionalitāti un palielina ļaunprātīgas reklāmas risku, RAT komponents nodrošina datu zādzības, taustiņsitienu reģistrēšanu, drošības apiešanu un pastāvīgu privilēģētu piekļuvi.

Drošības komandām jāpaliek modrām un jāuzrauga šādas kompromitēšanas pazīmes:

  • Rundll32.exe izpilde, ielādējot DLL failus vai nestandarta failu paplašinājumus no neparastiem vai aizdomīgiem direktorijiem
  • Procesa aktivitāte, kuras izcelsme ir mapē %temp%
  • Neatļautas reģistra izpildes atslēgu vai RemoteAccess pakalpojuma konfigurāciju izmaiņas
  • Ping aizkavējumu izmantošana, lai izvairītos no smilškastes noteikšanas
  • Neparasti DNS datplūsmas modeļi un negaidītas izmaiņas sistēmas resursfailā

Proaktīva uzraudzība un ātra reaģēšana uz šiem signāliem ir kritiski svarīga, lai mazinātu riskus, ko rada šī sarežģītā divējāda apdraudējuma ļaunprogrammatūras kampaņa.

Tendences

Apstiprināt jaunu privātuma drošības atjauninājumu...

Pikšķerēšana, Mēstules
Ar negaidītiem e-pastiem, kas prasa steidzamu rīcību, vienmēr jāizturas piesardzīgi. Kibernoziedznieki bieži maskē ļaunprātīgus ziņojumus kā likumīgus paziņojumus, lai izmantotu uzticību un izraisītu paniku. Ir svarīgi atzīt, ka krāpnieciskas e-pasta vēstules, piemēram, “Apstiprināt jaunu privātuma drošības atjauninājumu”, nav saistītas ar likumīgiem uzņēmumiem, organizācijām vai vienībām...

Visvairāk skatīts

Notiek ielāde...