Threat Database Trojans WiryJMPer Dropper

WiryJMPer Dropper

Especialistas em segurança cibernética detectaram um novo Trojan dropper. Ele tem o nome de 'WiryJMPer' e, até agora, foi usado para fornecer uma variedade específica de malware, o NetWire RAT. O objetivo dos Trojan droppers é fornecer uma carga útil incorporada e ajudá-la quando se trata de evitar caixas de areia e mecanismos anti-vírus. Os desenvolvedores de malware tendem a usar uma ampla variedade de truques para aumentar as chances de o Trojan Dropper bater as ferramentas de segurança que seu alvo pode usar - no caso do WiryJMPer Dropper, o arquivo corrompido é carregado com código indesejado, bem como com funções inúteis que itere através de seções aleatórias do código sem fazer nada significativo.

Um Dropper Básico Usado para Fornecer uma Ferramenta de Acesso Remoto Ameaçadora

Apesar de poder ficar escondido dos olhos dos pesquisadores de malware por pelo menos alguns meses, o veredicto é que o WiryJMPer Dropper certamente não é um Trojan de última geração. Ele inclui técnicas e ofuscação de código muito básicos e também aplica alguns truques de engenharia social para reduzir a interação da vítima com o software. Atualmente, os únicos usuários infectados pelo WiryJMPer Dropper e a carga útil que ele traz provavelmente serão usuários da ABBC Coin Wallet. Essa é uma ferramenta legítima e funcionará bem se você baixá-la de uma fonte oficial e confiável. No entanto, os autores do WiryJMPer Dropper estão hospedando cópias falsas da ABBC Coin Wallet, que serve como anfitrião do conta-gotas Trojan. É seguro supor que o grupo de usuários ao qual o WiryJMPer Dropper é direcionado atualmente será usuários de moedas criptografadas.

Investidores em Moeda Digital são os Alvos Atuais do WiryJMPer Dropper

Se um usuário acabar executando o instalador falso da ABBC Coin Wallet em seus computadores, ele poderá ver várias janelas de programas piscando rapidamente. Não se sabe se essa ação é intencional ou não, mas você pode ter certeza de que isso não acontecerá se você tentar executar uma cópia inalterada da ABBC Coin Wallet. O instalador falso prosseguirá com o lançamento do legítimo instalador da ABBC Coin Wallet, mas também começará a carregar os arquivos NetWire RAT em segundo plano. Durante esse período, ele também verificará a presença de determinadas seqüências de caracteres, processos e entradas do Registro associadas à atividade de vários softwares de máquinas virtuais e mecanismos antivírus. Se o Trojan dropper não detectar um ambiente sandbox ou a presença de ferramentas de análise de malware, ele passará os arquivos do NetWire RAT para '% APPDATA%' e, em seguida, colocará um arquivo '.LNK' na pasta Inicialização para obter persistência .

É provável que o WiryJMPer Dropper seja usado em campanhas futuras que possam depender de uma variedade de malware diferente. No momento, é recomendável se proteger dessa ameaça usando um conjunto de software anti-vírus de última geração, além de evitar o download de arquivos de fontes não confiáveis.

Tendendo

Mais visto

Carregando...