KopiLuwak

Por CagedTech em Trojans

O grupo de hackers Turla é um APT (Ameaça Persistente Avançada) conhecida mundialmente. Esse grupo de hackers provavelmente está trabalhando para o governo russo, pois seus alvos tendem a ser oficiais e governos estrangeiros, bem como grandes empresas de setores nos quais o Kremlin tem interesse. Esse cão de ataque cibernético do governo russo parece ter está ativo desde 2007 e vem aprimorando gradualmente seu arsenal de ferramentas de hackers, atualizando ferramentas mais antigas e adicionando novas. Um dos mais novos projetos do Turla APT é o Trojan backdoor KopiLuwak.

Escrito em Javascript

Este Trojan é escrito em Javascript, o que não é muito comum, pois as ameaças escritas nessa linguagem de programação tendem a ter um conjunto de recursos bastante limitado. É provável que o grupo de hackers Turla tenha optado por usar o Javascript, pois isso poderia tornar o KopiLuwak menos provável de ser detectado por um aplicativo anti-malware.

Propagação

O KopiLuwak está sendo propagado por um documento infectado do Microsoft Office. O documento malicioso destina-se a executar um script de macro ofuscado, que executará várias funções cujo objetivo é descriptografar e criar a carga útil prejudicial. O Trojan KopiLuwak é frequentemente usado em conjunto outra das ferramentas de hackers do Turla APT - o Topinambour Dropper. Isso significa que os atacantes podem injetar o Trojan KopiLuwak diretamente no sistema visado ou usar o Topinambour Dropper como backdoor para o Trojan obter acesso ao computador. O KopiLuwak está localizado no arquivo 'mailform.js', que pode ser implantado em vários diretórios do Windows.

Recursos

Esse Trojan é capaz de executar comandos no computador infiltrado e coletar dados sobre o sistema, o que ajudaria os invasores a determinar que outro malware seria lançado no alvo. Quando o KopiLuwak se infiltra em um sistema, ele pode começar a reunir informações sobre o PC executando comandos usando o 'cmd.exe' do Windows. Os dados são então enviados para os servidores dos atacantes. Em duas das variantes do KopiLuwak, detectadas por especialistas em malware, eles notaram que os servidores C&C (Command & Control) do Turla APT usados nas campanhas são instalações seqüestradas do WordPress. Depois que o KopiLuwak envia as informações coletadas ao servidor C&C, aguarda uma resposta dos atacantes. Existem quatro opções:

  1. Boa.
  2. Saída.
  3. Falhou.
  4. Trabalhos.

Se o KopiLuwak receber um comando 'Bom', ele interromperá as atividades por aproximadamente uma hora. Caso o Trojan receba um comando 'Sair', interromperá toda a atividade até que o sistema seja reiniciado. O comando 'Fail' instrui o Trojan KopiLuwak a encerrar a operação e limpar todas as faixas de sua atividade. O comando 'Trabalho' faria o KopiLuwak executar um comando remoto enviado pelos atacantes.

Normalmente, o grupo de hackers Turla não representa uma ameaça para os usuários regulares, pois eles têm como alvo peixes grandes que ajudariam o Kremlin a promover seus interesses globalmente. No entanto, você ainda precisa se manter cauteloso e garantir que seu sistema esteja seguro instalando uma ferramenta de software anti-vírus respeitável.

Tendendo

Mais visto

Carregando...