BISTROMATH
O BISTROMATH RAT (Trojan de Acesso Remoto) é um malware recém-descoberto que parece ser a criação de cibercriminosos norte-coreanos. Os cibercriminosos e os grupos de hackers da Coréia do Norte não tendem a atingir usuários regulares online. Em vez disso, eles geralmente buscam altos funcionários do governo ou grandes empresas.
O malware BISTROMATH possui uma lista de recursos que ajudam a determinar se ele está sendo executado em um ambiente de sandbox ou em um sistema regular. Para descobrir isso, o Trojan BISTROMATH procura:
- Nomes de usuário e nomes de computador que são conhecidos por serem usados por determinados fornecedores de segurança cibernética.
- A presença de ferramentas de software usadas para depuração de malware.
- A presença de artefatos de VM (Máquina Virtual), como endereços MAC, entradas de registro, drivers de sistema, serviços e outros).
- Processos ativos que estão vinculados a vários aplicativos e utilitários de depuração de malware.
- Certas configurações de hardware, que são normalmente usadas no Vms.
Se o BISTROMATH RAT determinar que está sendo executado em um sistema regular e não em uma VM usada para depuração de malware, ele continuará com o ataque como pretendido. O malware BISTROMATH está equipado para executar três tarefas para obter persistência no computador comprometido:
- Copiar o seu executável na pasta de Inicialização do Windows.
- Configurar uma chave do Registro que garanta que a ameaça seja executada sempre que os usuários reiniciarem os seus computadores.
- Criar uma nova tarefa agendada, que a ser executada a cada hora.
Quando a ameaça BISTROMATH ganha persistência no host infectado, ela se conecta ao servidor de C&C (Comando e Controle) dos invasores. Os autores do malware BISTROMATH poderão executar várias tarefas no sistema comprometido, incluindo:
- Coletar arquivos considerados de interesse.
- Coletar dados da área de transferência do usuário.
- Coletar cookies no navegador da Web do usuário.
- Coletar credenciais de login salvas no navegador da Web do usuário.
- Gravar as teclas digitadas pelo usuário.
- Executar comandos remotos.
- Compilar uma lista dos processos ativos.
- Gerenciar os processos ativos.
- Gerenciar serviços do Windows.
- Fazer capturas de tela da área de trabalho do usuário e das janelas ativas.
Os pesquisadores de malware acreditam que o BISTROMATH RAT pode pertencer ao arsenal do grupo de hackers HIDDEN COBRA, também conhecido como Lazarus APT (Ameaça Persistente Avançada). Esse grupo de hackers é uma das organizações de cibercrime mais importantes da Coréia do Norte.
Outros Nomes
14 fornecedores de segurança sinalizaram este arquivo como malicioso.
Software antivírus | Detecção |
---|---|
- | Backdoor.Androm.Win32.44606 |
- | Backdoor.Androm |
TrendMicro | TROJ_FR.7170E263 |
TrendMicro | Backdoor/W32.Androm.1102926 |
- | trojan.injector |
Symantec | Backdoor.Tidserv |
Sophos | Troj/Inject-ETF |
- | Trojan.Win32.Androm.ghyuau |
Microsoft | Trojan:Win32/Agentesla!MTB |
McAfee | Trojan-Injector.c |
K7AntiVirus | Riskware ( 0040eff71 ) |
Ikarus | Trojan.Win32.Injector |
- | Trojan.GenericKD.41987827 (B) |
- | Win32/Injector.DQTY trojan variant |
Detalhes Sobre os Arquivos do Sistema
# | Nome do arquivo | MD5 |
Detecções
Detecções: O número de casos confirmados e suspeitos de uma determinada ameaça detectada nos computadores infectados conforme relatado pelo SpyHunter.
|
---|---|---|---|
1. | 1ea6b3e99bbb67719c56ad07f5a12501855068a4a866f92db8dcdefaffa48a39 | 688890ddbf532a4de7c83a58e6aa594f | |
2. | 618a67048d0a9217317c1d1790ad5f6b044eaa58a433bd46ec2fb9f9ff563dc6 | 0ae8a7b6b4d70c0884095629fc02c19c | |
3. | b6811b42023524e691b517d19d0321f890f91f35ebbdf1c12cbb92cda5b6de32 | 26520499a3fc627d335e34586e99de7a | |
4. | 738ba44188a93de6b5ca7e0bf0a77f66f677a0dda2b2e9ef4b91b1c8257da790 | c51416635e529183ca5337fade82758a | |
5. | 04d70bb249206a006f83db39bbe49ff6e520ea329e5fbb9c758d426b1c8dec30 | 96071956d4890aebea14ecd8015617cc | |
6. | 43193c4efa8689ff6de3fb18e30607bb941b43abb21e8cee0cfd664c6f4ad97c | 83833f8dbdd6ecf3a1212f5d1fc3d9dd | |
7. | 133820ebac6e005737d5bb97a5db549490a9f210f4e95098bc9b0a7748f52d1f | a21171923ec09b9569f2baad496c9e16 |