Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Troian bancar Trojanul bancar Blackmoon

Trojanul bancar Blackmoon

Până în Mezo în Troian bancar, Amenințare persistentă avansată (APT)
Tradu in:

Analiștii în domeniul securității cibernetice au descoperit o campanie activă de intruziune în mai multe etape, care viza persoane fizice și organizații indiene. Operațiunea pare a fi de natură cibernetică și se bazează pe un cadru backdoor stratificat pentru a obține acces secret, pe termen lung, la sisteme compromise.

Phishing-ul ca vector inițial de infecție

Campania începe cu e-mailuri de tip phishing care se prefac a fi corespondență oficială de la Departamentul de Impozite pe Venit din India. Aceste mesaje îi incită pe destinatari să descarce o arhivă ZIP sub pretextul unor notificări de penalizare fiscală. Odată deschisă, arhiva inițiază lanțul de infectare care permite în cele din urmă monitorizarea persistentă și furtul de date.

Arhivă înarmată și execuție ascunsă

Fișierul ZIP livrat conține cinci componente, toate ascunse, cu excepția unui executabil capcană numit „Inspection Document Review.exe”. Acest fișier este utilizat în mod abuziv pentru a încărca lateral o bibliotecă de legături dinamice malițioasă încorporată în arhivă. DLL-ul necinstit efectuează verificări pentru evitarea depanatorului și comunică cu un server de comandă și control la distanță pentru a recupera sarcina utilă din etapa următoare.

Escalarea privilegiilor și mascarea proceselor

Codul shell descărcat utilizează o tehnică bazată pe COM pentru a ocoli Controlul contului de utilizator (UAC), acordând privilegii sporite. Apoi, își modifică propriul Bloc de mediu de proces (PEB) pentru a se da drept procesul legitim Windows explorer.exe, reducând probabilitatea de detectare de către instrumentele de securitate și analiști.

Livrare adaptivă a sarcinii utile

O etapă ulterioară, „180.exe”, este preluată din domeniul eaxwwyr[.]cn. Acest fișier este un program de instalare Inno Setup pe 32 de biți care își modifică fluxul de execuție în funcție de prezența unui anumit software de securitate pe gazda infectată, permițând malware-ului să își ajusteze dinamic tacticile de evitare a atacurilor.

Evitarea software-ului de securitate și legătura Blackmoon

Când este detectat un software defensiv, malware-ul evită dezactivarea directă. În schimb, simulează mișcările mouse-ului pentru a naviga prin interfața de securitate și a adăuga discret componente rău intenționate la lista de excluderi. Această activitate este facilitată de un DLL evaluat ca fiind o variantă a familiei de malware Blackmoon (KRBanker), asociată istoric cu atacuri asupra companiilor din Coreea de Sud, Statele Unite și Canada încă de la apariția sa în 2015.

Abuzul unui instrument legitim al unei întreprinderi

Unul dintre fișierele adăugate pe lista de excludere este „Setup.exe”, un utilitar legitim de la SyncFutureTec Company Limited. Acest program elimină fișierul „mysetup.exe”, identificat ca SyncFuture TSM (Terminal Security Management), o soluție comercială de monitorizare și gestionare la distanță dezvoltată de Nanjing Zhongke Huasai Technology Co., Ltd. Deși este concepută pentru administrarea întreprinderilor, este reutilizată în această campanie ca o platformă completă de spionaj.

Componente de suport și manipularea sistemului

După implementare, sunt instalate elemente suplimentare pentru pregătirea și controlul mediului:

  • Scripturi batch care creează directoare personalizate, modifică listele de control al accesului, alterează permisiunile desktopului și efectuează sarcini de curățare și restaurare.
  • Un fișier executabil de orchestrator, „MANC.exe”, care coordonează serviciile și permite înregistrarea extinsă a activității.

Impact operațional și semnificație strategică

Prin utilizarea abuzivă a unui instrument legitim la nivel de întreprindere, alături de programe malware personalizate, operatorii obțin control de la distanță asupra endpoint-urilor infectate, vizibilitate continuă asupra activității utilizatorilor și un mecanism centralizat pentru exfiltrarea datelor sensibile. Utilizarea coordonată a încărcării laterale a DLL-urilor, escaladării privilegiilor, reutilizării instrumentelor comerciale, măsurilor anti-analiză și evitării accesului la software-ul de securitate reflectă un grad ridicat de maturitate tehnică și o intenție clară de a menține un control persistent și granular asupra sistemelor compromise.

Trending

Înșelătorie prin e-mail cu modificarea stării...

phishing, Spam
Vigilența în gestionarea e-mailurilor neașteptate este crucială în peisajul amenințărilor actuale. Infractorii cibernetici se dau în mod curent drept servicii cunoscute pentru a crea un fals sentiment de urgență și încredere. Așa-numitele e-mailuri „Starea contului cPanel s-a schimbat” sunt un exemplu clar: sunt complet false și nu sunt asociate cu nicio companie, organizație sau entitate...

Cele mai văzute

Se încarcă...