SLOTHFULMEDIA

SlothfulMedia is een malware-dropper die het onderwerp was van een rapport dat is uitgegeven door The Department of Homeland Security (DHS) door bevindingen van de Cybersecurity and Infrastructure Security Agency (CISA) en de Cyber National Mission Force (CNMF) te combineren. De malwarebedreiging is ontworpen om twee extra bestanden op het gecompromitteerde systeem te plaatsen - een Trojan voor externe toegang (RAT), terwijl het andere bestand verantwoordelijk is voor het verwijderen van de RAT nadat persistentie is bereikt.

Het hoofd-dropper-bestand heeft als taak de RAT-payload te downloaden als een bestand met de naam 'mediaplayer.exe' en het in de map ' % AppData% \ Media \ ' te plaatsen. Een 'media.lnk'-bestand wordt ook in hetzelfde pad neergezet. Vervolgens gaat het verder met het downloaden van een bestand in de map ' % TEMP% ', geeft het een willekeurige naam van vijf tekens en voegt er de extensie .'exe 'aan toe. Om ervoor te zorgen dat de gebruiker dit bestand moeilijker opmerkt, is het gemaakt met een 'verborgen' attribuut. Het dropper-bestand is ook verantwoordelijk voor het creëren van het persistentiemechanisme voor de RAT. Het bereikt dit door een 'TaskFrame'-proces te creëren dat de RAT bij elke systeemstart zal uitvoeren. Communicatie met de Command-and-Control-infrastructuur (C2, C&C) wordt bereikt via HTTP- en HTTPS-verzoeken aan het domein 'www [.] Sdvro.net'.

De RAT-payload zelf is in staat om volledige controle over de gecompromitteerde computer te krijgen. Het begint met het verzamelen van gegevens door een screenshot van het bureaublad te maken, het 'Filter3.jpg' te noemen en het in de lokale map te plaatsen. Het verzamelt vervolgens verschillende systeemgegevens, zoals computer- en gebruikersnaam, OS-versie, geheugengebruik en aangesloten logische schijven. De informatie wordt omgezet in een string, vervolgens gehasht en verzonden als onderdeel van de eerste communicatie met de C2-server. Als alles soepel verloopt, wacht de RAT tot een specifiek commando wordt uitgevoerd op de geïnfecteerde computer. Het kan bestanden manipuleren, processen uitvoeren en stoppen, open poorten, stations, bestanden, mappen en services opsommen, screenshots maken; het wijzigen van het register, naast andere bedreigende activiteiten.

Het bestand met de willekeurige naam die door de druppelaar wordt afgeleverd, is verantwoordelijk voor het opruimen van enkele van de veelbetekenende tekenen van de activiteit van de RAT. Het wijzigt het register om ervoor te zorgen dat het belangrijkste uitvoerbare bestand van de malware wordt verwijderd bij de volgende herstart van het systeem. De registersleutel die het gebruikt is:

'HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations

Gegevens: \ ?? \ C: \ Users \ \ AppData \ Local \ Temp \ wHPEO.exe. '

De internetgeschiedenis van de gebruiker wordt ook gewist door het bestand 'index.dat' te verwijderen.