Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Português
Threat Database Malware Duri Malware

Duri Malware

Por GoldSparrow em Malware
Traduzir Para:
Português

Duri é o nome dado a um ciber-ataque em andamento, detectado pelos pesquisadores da Menlo Security. Os hackers empregaram o contrabando de HTML e blobs de dados para contornar as soluções de segurança das rede tradicionais, tais como sandboxes e proxies, e fornecer cargas de malware.

O contrabando de HTML é um método de ataque que não explora vulnerabilidades ou fraquezas do sistema. Em vez disso, os hackers aproveitam os recursos legítimos do HTML5/JavaScript para iniciar o download de arquivos. O método específico usado na campanha Duri envolve a criação de um blob JavaScript que possui o tipo MIME necessário para o download de arquivos no computador visado. O contrabando de HTML é eficaz contra ferramentas de segurança que dependem da transferência de arquivos por transferência, principalmente. No ataque do Duri, no entanto, toda a carga útil do malware é criada no sistema da vítima.

Para que o ataque seja disparado, o usuário-alvo precisa clicar em um link que é redirecionado várias vezes antes de finalmente abrir uma página HTML hospedada no duckdns.org. A página de destino inicia um JavaScript online que gera um blob de dados a partir de uma variável codificada em base64. A partir do blob de dados, um arquivo zip é construído e baixado posteriormente no dispositivo da vítima. Deve-se observar que a carga do malware não pode prosseguir por conta própria; o usuário deve abrir o arquivo zip manualmente e executar o arquivo MSI (Microsoft Windows installer) contido nele.

Depois de analisar o arquivo MSI, os especialistas em segurança cibernética notaram um código JSCRIPT ofuscado embutido nele. O código corrompido pode realizar várias funções quando acionado, como baixar um arquivo zip do hxxp//104.214.115.159/mod/input20 [.] jpg e extrair dois arquivos dele - Avira.exe e rundll.exe. Um arquivo LNK é criado na pasta% appdata% e, ao criar uma chave de execução automática para ele, a ameaça de malware atinge a persistência na máquina infectada.

O malware específico usado no ataque Duri não foi revelado, mas os pesquisadores mencionaram que não se trata de uma nova ameaça e que foi entregue por meio do Dropbox anteriormente.

Postagens Relacionadas

Tendendo

Mais visto

Carregando...