Sihost

Os protestos em Hong Kong já duram há bastante tempo, e o governo chinês parece estar perdendo a paciência e recorrendo a algumas técnicas inovadoras. Recentemente, foi descoberto que Pequim havia empregado um ator de ameaça para atacar os manifestantes em Hong Kong. Os manifestantes receberiam um e-mail mascarado como uma mensagem de um estudante de direito do Ocidente. Na mensagem, os atacantes fingem estar interessados nos protestos e pedem ao destinatário 'recomendações para encerrar os protestos de Hong Kong'. Os atacantes anexariam três arquivos ao email fraudulento - dois originais e um que aparecesse como '. RTF 'documento, mas é um'. Arquivo LNK '. Mascarar esse arquivo corrompido como um documento inofensivo é feito usando uma extensão dupla, um truque bastante antigo, mas eficaz.

Usa um Arquivo '.PNG' Mascarado como uma Imagem

O '. Os arquivos do LNK 'servem como um link e, no caso desta campanha de Pequim, o'. O arquivo LNK 'leva a um arquivo' msiexec.exe ', que é genuíno. O '. O arquivo LNK 'anexado ao email falso deve executar o arquivo' msiexec.exe 'e fazer o download de um arquivo no GitHub. O arquivo em questão parece ser um '. PNG ', mas funciona como um executável. Este executável é usado para gerar centenas de arquivos falsos. Entre eles está a carga útil inicial localizada em 'siHost64'.

Recursos

A pasta% APPDATA% contém um script Python chamado 'siHost64.' Este script destina-se a:

• Ganhar persistência violando o Registro do Windows.
• Estabeleçer uma conexão com o servidor de C&C (Comando e Controle) dos invasores, que opera com a ajuda da API do DropBox.
• Usar o servidor C&C para obter arquivos que contêm comandos criptografados. Ao descriptografar os comandos, a ameaça os executará. Os resultados dessas ações são armazenados em um novo arquivo criptografado. A ameaça exfiltra o arquivo para o servidor C&C periodicamente.

Em essência, a ameaça Sihost é uma ferramenta para espionagem. Esse Trojan backdoor permitirá que seus operadores coletem informações do host comprometido e as transfiram para o servidor do invasor.

É claro que o malware Sihost não se destina a atingir usuários aleatórios. Essa ameaça tem uma taxa de infecção muito baixa e suas vítimas parecem estar na região chinesa, o que levou os especialistas a acreditar que o Trojan Sihost foi desenvolvido para atacar exclusivamente os manifestantes de Honk Kong. A ameaça está muito bem desenvolvida e é claro que criminosos cibernéticos experientes criaram o Trojan backdoor Sihost.