Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Trojan Downloader SkinnyBoy Malware

SkinnyBoy Malware

Por CagedTech em Trojan Downloader
Traduzir Para:
Português

Os especialistas de Infosec da empresa de pesquisa de ameaças Cluster 25 descobriram uma nova campanha de spear-phishing alavancada contra entidades estratégicas. Como parte da cadeia de ataque, os pesquisadores descobriram uma nova ameaça de malware que agia como um downloader intermediário com a tarefa de entregar a carga final ameaçadora aos sistemas violados. Batizado de SkinnyBoy, o malware foi atribuído como parte do arsenal nocivo da gangue APT28, que fala russo. Esse autor de ameaças, em particular, também atende sob os nomes Fancybear, Sednit, Strontium, PwnStorm e Sofacy.

Características do SkinnyBoy

O ataque do SkinnyBoy começa com a entrega de e-mails de phishing de isca. As vítimas recebem um convite falso para um evento científico internacional que supostamente acontecerá na Espanha, no final de julho. Anexado ao e-mail está um documento da Microsoft como uma arma contendo uma macro corrompida. Após sua ativação, a macro extrai um downloader de malware na forma de um arquivo DLL.

O SkinnyBoy é entregue ao lado do sistema infectado. A ameaça chega como um arquivo chamado 'tpd1.exe'. Uma vez iniciado, o SkinnyBoy tenta estabelecer um mecanismo de persistência criando um arquivo LNK na pasta de inicialização do Windows. Sempre que o sistema comprometido é reiniciado da próxima vez, o LNK é acionado e começa a procurar o arquivo principal de carga do SkinnyBoy 'TermSrvClt.dll'. Ele faz isso verificando o hash SHA256 de cada arquivo armazenado no local C:\Users\% username%\AppData\Local.

A principal tarefa realizada pelo SkinnyBoy é a entrega da carga final nos sistemas infectados. Enquanto estiver presente no sistema, no entanto, a ameaça também coletará informações específicas explorando as ferramentas 'syteminfo.exe' e 'tasklist.exe' do Windows. Os dados são coletados dos seguintes arquivos e locais:

  • C:\Users\%username%\Desktop
  • C:\Program Files - C:\Program Files (x86)
  •  C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
  • C:\Users\%username%\AppData\Roaming
  • C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Templates
  • C:\Windows - C:\Users\user\AppData\Local\Temp

As informações coletadas pelo SkinnyBoy são então organizadas, codificadas no formato base64 e exfiltradas para os servidores de comando e controle da operação.

Vítimas do SkinnyBoy

O malware SkinnyBoy até agora foi implantado contra um grande conjunto de vítimas em potencial. Parece que o APT28 tem como alvo agências governamentais, tais como ministérios de relações exteriores, entidades da indústria de defesa, embaixadas e organizações do setor militar, principalmente. Embora várias das vítimas estivessem localizadas na União Europeia, o APT28 pode operar em uma escala maior, com o ataque possivelmente afetando também as organizações dos EUA.

Tendendo

Mais visto

Carregando...