Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Instrumente de administrare la distanță Campanie de malware cu sarcină dublă

Campanie de malware cu sarcină dublă

Până în Mezo în Instrumente de administrare la distanță, Adware
Tradu in:

O campanie malware recent descoperită atrage o atenție semnificativă în cadrul comunității de securitate cibernetică datorită capacității sale de a implementa simultan două amenințări distincte. Un singur încărcător ofuscat este utilizat pentru a livra atât RAT-ul Gh0st, cât și CloverPlus pe același sistem compromis.

Această combinație este atât neobișnuită, cât și extrem de strategică. Gh0st RAT permite controlul complet de la distanță asupra mașinii infectate, în timp ce CloverPlus se concentrează pe manipularea activității browserului, injectarea de componente publicitare și generarea de venituri prin ferestre pop-up intruzive. Implementarea dublă permite actorilor de amenințare să mențină acces neautorizat persistent, în timp ce monetizează infecția în timp real.

Această campanie evidențiază o tendință crescândă către livrarea de date cu sarcină multiplă, unde atacatorii maximizează eficiența operațională și randamentul financiar dintr-un singur compromis.

Tactici de ofuscare: ascunderea sarcinii utile

Încărcătorul din centrul acestei campanii este conceput pentru a fi ascuns. Acesta încorporează două sarcini utile criptate în secțiunea sa de resurse, folosind tehnici de ofuscare pentru a evita mecanismele tradiționale de detectare.

Execuția începe cu modulul adware CloverPlus, identificat ca AdWare.Win32.CloverPlus și asociat cu un executabil numit wiseman.exe. Această componentă modifică setările de pornire a browserului și injectează reclame pop-up persistente.

După aceasta, încărcătorul își evaluează calea de execuție. Dacă nu operează din directorul %temp% al sistemului, își creează o copie acolo înainte de a continua. Următoarea etapă implică decriptarea modulului client Gh0st RAT, care este, de asemenea, ascuns ca resursă criptată în fișierul binar malware.

Odată decriptat, malware-ul atribuie un nume de fișier aleatoriu fișierului util și îl stochează într-un folder denumit aleatoriu, situat la rădăcina unității C:\, ceea ce complică și mai mult detectarea și analiza.

Trăind din roadele pământului: Instrumente de încredere, intenții răuvoitoare

Pentru a executa sarcina utilă decriptată, malware-ul utilizează utilitarul Windows legitim rundll32.exe. Această abordare permite executarea de cod rău intenționat sub pretextul unui proces de sistem de încredere, reducând semnificativ probabilitatea declanșării apărărilor de securitate.

Odată activ, Gh0st RAT începe să profileze sistemul compromis prin colectarea de identificatori unici, cum ar fi adresa MAC și numărul de serie al hard disk-ului. Aceste detalii sunt folosite pentru a înregistra victima în cadrul infrastructurii de comandă și control a atacatorului, asigurând urmărirea și gestionarea precisă a gazdelor infectate.

Mecanisme de persistență: Asigurarea accesului pe termen lung

Menținerea accesului după repornirea sistemului este un obiectiv cheie al acestei campanii. Gh0st RAT realizează persistența prin mai multe tehnici încorporate în sistemul de operare:

Modificarea cheii de registry Executare Windows pentru a asigura execuția automată la pornire
Înregistrarea unei DLL rău intenționate în calea serviciului Remote Access din SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Aceste metode acordă malware-ului privilegii la nivel de SISTEM ori de câte ori este lansat serviciul asociat, eliminând necesitatea unei interacțiuni suplimentare cu utilizatorul și consolidând controlul pe termen lung.

Detectare și apărare: Indicatori de compromis

Impactul acestei campanii este considerabil atât pentru indivizi, cât și pentru organizații. În timp ce componenta adware perturbă funcționalitatea browserului și crește expunerea la reclame rău intenționate, componenta RAT permite furtul de date, înregistrarea în jurnal a apăsărilor de taste, ocolirea securității și accesul privilegiat persistent.

Echipele de securitate ar trebui să rămână vigilente și să monitorizeze următorii indicatori de compromitere:

  • Executarea rundll32.exe prin încărcarea DLL-urilor sau a extensiilor de fișiere nestandard din directoare neobișnuite sau suspecte
  • Activitatea procesului care provine din folderul %temp%
  • Modificări neautorizate ale cheilor de executare din registry sau ale configurațiilor serviciului RemoteAccess
  • Utilizarea întârzierilor bazate pe ping pentru a evita detectarea sandbox-ului
  • Modele anormale de trafic DNS și modificări neașteptate ale fișierului gazdă al sistemului

Monitorizarea proactivă și răspunsul rapid la aceste semnale sunt esențiale pentru atenuarea riscurilor prezentate de această campanie sofisticată de malware cu dublă amenințare.

Trending

Confirmați noua actualizare de securitate a...

phishing, Spam
E-mailurile neașteptate care necesită acțiuni urgente trebuie tratate întotdeauna cu prudență. Infractorii cibernetici deghizează frecvent mesajele rău intenționate în notificări legitime pentru a exploata încrederea și a declanșa panică. Este esențial să recunoaștem că escrocheriile precum e-mailurile „Confirmați noua actualizare de securitate a confidențialității” nu sunt asociate cu nicio...

Cele mai văzute

Se încarcă...