KingOfHearts

KingOfHearts is een achterdeur geschreven in C ++ die deel uitmaakt van de toolset van een niet nader genoemde geavanceerde bedreigingsacteur. Er is waargenomen dat dezelfde groep hackers drie verschillende malwarefamilies gebruikt bij hun activiteiten. Een van die families genaamd SlothfulMedia was het onderwerp van een rapport dat werd gepubliceerd door het CISA-agentschap van het Department of Homeland Security.

In de kern is KingOfHearts uitgerust met alle basisfuncties die van een achterdeurdreiging worden verwacht, zonder al te luxe. Het heeft echter een aangepast hulpprogramma voor het maken van schermafbeeldingen. Afgezien daarvan kan het opdrachten uitvoeren op de gecompromitteerde computer, toegang krijgen tot de lijst met actieve processen met de optie om een van deze te beëindigen, en beschikt het over mogelijkheden voor het manipuleren van bestandssystemen.

KingOfHearts wordt hoogstwaarschijnlijk verspreid via phishing-aanvallen via e-mail met vergiftigde Word-documentbijlagen. Eenmaal uitgevoerd, starten deze documenten een PowerShell-script met als taak het downloaden van een afbeelding met een met base-64 gecodeerde malware-payload. KingOfHearts is waargenomen als een val als zowel een '.exe' of '.dll' bestand. De communicatie met de Command-and-Control (C2, C&C) infrastructuur verloopt via HTTP (S).

Volgens de onderzoekers die het hebben geanalyseerd, is KingOfHearts uitgerust met anti-debugging en virtualisatiedetectiefuncties.