Tonnerre Malware

Por GoldSparrow em Malware

Traduzir Para:

O Tonnerre Malware é a carga útil em estágio final usada nas atividades renovadas do que se acredita ser um grupo ATP (Advanced Persistent Threat) apoiado pelo Irã, conhecido como Infy. Escrito em Delphi, Tonnerre é projetado como uma carga separada que expande a funcionalidade de outra ferramenta de malware Infy chamada Malware Foudre. Ao separar a funcionalidade desejada em duas ameaças diferentes, os hackers podem tentar reduzir sua pegada no sistema comprometido.

No entanto, o executável do Malware Tonnerre é incrivelmente grande, chegando a 56 MB. Ele tenta se disfarçar como um software legítimo. As versões anteriores fingem ser um programa chamado 'SilverSoft Speed', enquanto mais tarde se apresentam como 'Synaptics'. Da mesma forma que o Foudre Malware, o Tonnerre Malware também está equipado com uma rotina que autentica seu servidor de Comando e Controle (C2, C&C). Além disso, Tonnerre emprega uma estrutura de comunicação C2 dual.

Primeiro, a ameaça usa DGA para localizar seu servidor C2 e, em seguida, verifica-o por meio de uma assinatura RSA. A comunicação com este servidor é feita via HTTP e serve para armazenar metadados gerais sobre a vítima infectada, coletar arquivos que correspondem a extensões predefinidas, obter atualizações e obter o endereço do C2 secundário. A estrutura C2 adicional é usada para exfiltrar os dados coletados, bem como receber uma lista de comandos que podem ser executados no dispositivo comprometido. A comunicação com este servidor é alavancada por FTP.

O Malware Tonnerre contém 5 formulários Delphi, cada um programado com funcionalidades diferentes. Um é responsável pelo processo de instalação da ameaça e pelo estabelecimento de um mecanismo de persistência por meio de uma tarefa agendada para helper.exe e uma chave de registro 'Executar'. O próximo é responsável por coletar dados selecionados. Ele captura documentos de pastas predefinidas, como Documentos, Imagens, Downloads, etc. Além disso, pode coletar dados de compartilhamentos de rede por meio das funções WNetOpenEnumW e WNetEnumResourceW de mpr.dll.

Um formulário Delphi separado controla a conexão com o servidor FTP C2 secundário. Outro coleta arquivos de mídia removível rastreando mensagens WM_DEVICECHANGE e enumerando os dispositivos. A última forma utiliza a ferramenta comprometida da linha de comando para gravar som.

Buscar

Mudar de região

Tonnerre Malware

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela