SLOTHFULMEDIA

SlothfulMedia to narzędzie do usuwania złośliwego oprogramowania, które było przedmiotem raportu wydanego przez Departament Bezpieczeństwa Wewnętrznego (DHS), łącząc ustalenia agencji ds. Cyberbezpieczeństwa i infrastruktury (CISA) oraz Cyber National Mission Force (CNMF). Zagrożenie przez złośliwe oprogramowanie ma na celu upuszczenie dwóch dodatkowych plików w zaatakowanym systemie - trojana zdalnego dostępu (RAT), podczas gdy drugi plik jest odpowiedzialny za usunięcie RAT po osiągnięciu trwałości.

Zadaniem głównego pliku droppera jest pobranie ładunku RAT jako pliku o nazwie „mediaplayer.exe” i umieszczenie go w folderze „ % AppData% \ Media \ ”. Plik „media.lnk” jest również upuszczany w tej samej ścieżce. Następnie pobiera plik z folderu „ % TEMP% ”, nadaje mu pięcioznakową losową nazwę i dodaje do niego rozszerzenie .'exe '. Aby mieć pewność, że użytkownikowi trudniej będzie zauważyć ten plik, jest on tworzony z atrybutem „ukryty”. Plik dropper jest również odpowiedzialny za tworzenie mechanizmu trwałości dla RAT. Osiąga to, tworząc proces „TaskFrame”, który będzie wykonywał RAT przy każdym uruchomieniu systemu. Komunikacja z infrastrukturą Command-and-Control (C2, C&C) odbywa się za pośrednictwem żądań HTTP i HTTPS do domeny „www [.] Sdvro.net”.

Sam ładunek RAT jest w stanie przejąć pełną kontrolę nad zaatakowanym komputerem. Rozpoczyna gromadzenie danych, wykonując zrzut ekranu pulpitu, nadając mu nazwę „Filter3.jpg” i umieszczając go w katalogu lokalnym. Następnie zbiera różne dane systemowe, takie jak nazwa komputera i użytkownika, wersja systemu operacyjnego, użycie pamięci i podłączone dyski logiczne. Informacje są przekształcane w ciąg, a następnie szyfrowane i wysyłane jako część początkowej komunikacji z serwerem C2. Jeśli wszystko działa sprawnie, RAT będzie czekał na wykonanie określonego polecenia na zainfekowanej maszynie. Może manipulować plikami, uruchamiać i zatrzymywać procesy, wyliczać otwarte porty, dyski, pliki, katalogi i usługi, robić zrzuty ekranu; modyfikowanie Rejestru, między innymi zagrażającymi działaniami.

Plik z losową nazwą dostarczoną przez droppera jest odpowiedzialny za usunięcie niektórych ostrzegawczych oznak aktywności RAT. Modyfikuje rejestr, aby zapewnić, że główny plik wykonywalny złośliwego oprogramowania zostanie usunięty przy następnym ponownym uruchomieniu systemu. Używany przez niego klucz rejestru to:

'HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations

Dane: \ ?? \ C: \ Users \ <użytkownik> \ AppData \ Local \ Temp \ wHPEO.exe. '

Historia internetowa użytkownika również zostanie wyczyszczona poprzez usunięcie pliku „index.dat”.