SnatchLoader

SnatchLoader Beschrijving

SnatchLoader staat bekend als een downloader-malware - het is verantwoordelijk voor het leveren van extra malwarebedreigingen op een machine die het al heeft weten te compromitteren. De ontwikkeling van SnatchLoader heeft een bepaalde periode van lage activiteit gezien, maar de dreiging is waargenomen in het kader van de actieve aanval campagnes zoals het leveren van de banking Trojan Ramnit. Hoewel niet uniek, is een merkwaardig kenmerk van deze downloader-malware dat hij is uitgerust met 'geoblocking'. In de praktijk leidt dit ertoe dat de malware in sommige landen wordt uitgevoerd, terwijl het in andere landen zichzelf gewoon beëindigt. De onderzoekers die een steekproef van SnatchLoader analyseerden, stelden vast dat het VK en Italië tot de haalbare doelwitten behoorden, terwijl gebruikers in Frankrijk, de VS en Hong Kong veilig waren.

Om Windows API-aanroepen uit te voeren, gebruikt SnatchLoader een functienaamhashing tijdens runtime. Wat betreft het afhandelen van de communicatie met zijn Command-and-Control (C2, C&C) -infrastructuur, gebruikt het HTTPS. Vier verschillende soorten verzoeken werden geïsoleerd door infosec-onderzoekers.

Eerst doet SnatchLoader een 'get dynamic config'-verzoek, gevolgd door een' send system information'-verzoek. In deze stap stuurt de malware verschillende systeemgegevens naar de server van de hacker. Onder de geëxfiltreerde gegevens bevinden zich details zoals Windows-versies, architectuur, gebruikersnaam, computernaam, user-agent, lijst met processen, enz.
Om te controleren op commando's van de hackers, doet SnatchLoader een 'command poll'-verzoek. Vanwege hun aard als loader zijn de commando's voornamelijk bedoeld voor verschillende manieren om extra malwaremodules te downloaden en uit te voeren - normaal uitgevoerd, geïnjecteerd in explorer.exe of uitgevoerd via rundll32. De onderzoekers zagen ook een plug-in-functionaliteit van SnatchLoader voor een cryptomining-dreiging van Monero. Het laatste verzoek aan de C2 wordt gebruikt om de resultaten van het uitvoeren van een specifiek commando te verzenden.

Laat een antwoord achter

Gebruik dit opmerkingensysteem NIET voor vragen over ondersteuning of facturering. Neem voor technische ondersteuningsverzoeken van SpyHunter rechtstreeks contact op met ons technische ondersteuningsteam door een ticket voor klantenondersteuning te openen via uw SpyHunter. Voor factureringsproblemen verwijzen wij u naar onze "Factureringsvragen of problemen?" Pagina. Voor algemene vragen (klachten, juridische zaken, pers, marketing, copyright) gaat u naar onze pagina "Vragen en feedback".


HTML is niet toegestaan.