Threat Database Malware PowerStallion

PowerStallion

Por GoldSparrow em Malware

O PowerStallion é uma das inúmeras ameaças de malware e programas de hackers que são usados pelo Turla para realizar ataques. Turla é um grupo criminoso baseado na Rússia que tem sido responsável por inúmeros ataques de malware e táticas online. O Turla está ativo pelo menos desde 2008 e continua a realizar ataques. Como a maioria dos alvos de Turla parece alinhar-se com os interesses nacionais russos, é muito provável que sejam patrocinados pelo Estado ou ligados ao governo russo mais de perto. As vítimas mais recentes dos ataques de Turla foram indivíduos no Ministério das Relações Exteriores da Alemanha. Outros ataques de alto perfil dos ataques de Turla incluíram alvos militares nos Estados Unidos e na França. Não há dúvida de que o Turla é um dos mais sofisticados grupos de hackers ativos, e representa uma ameaça significativa para usuários de computador em todo o mundo.

Como o Turla Usa o PowerStallion

O PowerStallion realiza um ataque de backdoor. Usando o PowerStallion, os atacantes podem obter acesso automático a um computador. No entanto, o PowerStallion não é o Trojan de backdoor mais comum usado nos ataques do Turla, e é provável que o PowerStallion seja uma opção secundária. Os principais Trojans de backdoor associados ao Turla são o Gazer e o Carbon. O cenário mais provável para o uso do PowerStallion em um ataque é quando esses outros dois Trojans de backdoor não são eficazes.

Como o PowerStallion Realiza o Seu Ataque

O PowerStallion foi vinculado a servidores de Comando e Controle hospedados no Microsoft OneDrive publicamente. É claro que os criminosos que realizam ataques PowerStallion possuem componentes de engenharia social e conhecem seus alvos. Por exemplo, o endereço de e-mail usado para os servidores de Comando e Controle do PowerStallion usa o nome de um dos indivíduos que foram alvo no mais recente ataque PowerStallion, tornando mais provável que as vítimas permitam que o ataque ocorra. O objetivo principal do backdoor PowerStallion é fazer parte de um ataque maior. No caso deste ataque mais recente, o backdoor PowerStallion foi usado para instalar o ComRAT 4, um RAT ou Trojan de Acesso Remoto que permite que o ataque assuma o controle do dispositivo da vítima a partir de um local remoto. O PowerStallion também permite que os invasores rastreiem as medidas de segurança no dispositivo infectado, incluindo qualquer software antivírus instalado e proteções de rede, estabelecendo as condições para que o ataque ocorra.

Alguns Detalhes do Ataque do Malware PowerStallion

Um aspecto do PowerStallion que o destaca é que ele é extremamente leve, não ocupando muito espaço e realizando um ataque simples e eficaz. O PowerStallion usa o PowerShell para estabelecer um backdoor e o Microsoft OneDrive para estabelecer um servidor de comando e controle em nuvem. O PowerStallion usa credenciais codificadas para esta conta do OneDrive. O PowerStallion usa um comando net para se conectar a uma unidade de rede e verifica os comandos, recebendo instruções dos invasores. O PowerStallion é limitado a scripts do PowerShell e grava os resultados dos comandos em outra pasta no OneDrive, funcionando como um servidor de Comando e Controle. Isso permite que os criminosos se comuniquem com o PowerStallion. Os dados gravados pelo PowerStallion na unidade de Comando e Controle são criptografados usando o XOR.

Protegendo os Seus Dispositivos contra o PowerStallion e o Turla

O PowerStallion faz parte de um ataque maior e é um estágio único em um padrão de ataque de vários estágios em geral. O PowerStallion é um pouco genérico, e a simplicidade do PowerStallion permite que o Turla realize ataques que podem ser difíceis de identificar e combater.. A melhor proteção contra o PowerStallion, assim como a maioria das ameaças de malware, é ter um programa de segurança forte e atualizado e instruir os usuários de computador a estabelecerem fortes medidas de higiene on-line.

Tendendo

Mais visto

Carregando...