Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Malware Malware EYE

Malware EYE

Por GoldSparrow em Malware
Traduzir Para:
Português

O EYE Malware é uma ferramenta de pós-exploração que foi observada como parte do arsenal de um grupo de hackers que visa especificamente empresas de transporte e navegação do Kuwait. Nos casos em que o EYE Malware foi detectado, ele foi implantado depois que os sistemas visados já haviam sido comprometidos por outro malware pertencente a um grupo de hackers chamado Hisoka.

O papel do EYE Malware nas cadeias de ataque era limpar os vestígios deixados pelas atividades ameaçadoras dos atores da ameaça. Resumindo, é um dispositivo à prova de falhas com a tarefa de eliminar quaisquer artefatos de identificação deixados por conexões não autorizadas do Remote Desktop Protocol (RDP), bem como encerrar qualquer processo criado pelos invasores.

Execução aberta, o EYE Malware começa a procurar por qualquer tentativa de login de entrada localmente ou por sessões RDP remotas. Ele também lista todos os processos criados depois que o EYE Malware foi iniciado. Quando detecta uma conexão, o EYE Malware grava a string exclusiva 'esperamos por você, chefe !!!' para o console antes de prosseguir para ativar suas rotinas de limpeza. Primeiro, a ameaça encerrará todos os aplicativos e ferramentas abertos por hackers. Em seguida, ele remove todos os arquivos de documentos recentes usando a lista de atalhos por meio do comando:

Del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\* & Del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\AutomaticDestinations\\* & Del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\CustomDestinations\\*

O EYE Malware também extrai certos valores de chaves de registro específicas e do arquivo 'Default.rdp' para remover quaisquer sinais potenciais sobre as atividades do agente da ameaça na máquina comprometida. Os registros visados pelo malware são:

  • Software\\Microsoft\\Terminal Server Client\\Default
  • SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\WordWheelQuery
  • SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\TYPEDPATHS
  • Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU

Finalmente, como a última etapa de sua programação, o EYE Malware tentará se remover do sistema de destino executando o comando taskkill /f /im <EYE’s executable filename> & choice /C Y /N /D Y /T 3 & Del '<path to EYE’s executable>.'

Postagens Relacionadas

Tendendo

Mais visto

Carregando...