Sihost

Протесты в Гонконге длились довольно долго, и китайское правительство, похоже, теряет терпение и прибегает к некоторым инновационным методам. Недавно было обнаружено, что в Пекине был нанят актер угрозы для нападения на протестующих в Гонконге. Целевые протестующие получат электронное письмо, которое маскируется как сообщение от студента-юриста с Запада. В сообщении злоумышленники притворяются заинтересованными в акциях протеста и просят получателя «дать рекомендации по прекращению гонок в Гонконге». Злоумышленники прикрепят к мошенническому письму три файла - два подлинных и один, который отображается как '. RTF «документ, но это». LNK 'файл. Маскирование этого поврежденного файла как безвредного документа выполняется с использованием двойного расширения, довольно старого, но эффективного трюка.

Использует файл .PNG, маскируемый как изображение

. Файлы LNK «служат ссылкой, а в случае этой пекинской кампании -». Файл LNK ведет к файлу msiexec.exe, который является подлинным. . Файл LNK, прикрепленный к поддельному письму, должен выполнить файл msiexec.exe и загрузить его из GitHub. Файл, о котором идет речь, выглядит как '. PNG 'изображение, но оно работает как исполняемый файл. Этот исполняемый файл используется для создания сотен поддельных файлов. Среди них есть начальная полезная нагрузка, которая находится в siHost64.

возможности

Папка% APPDATA% будет содержать скрипт Python с именем 'siHost64.' Этот скрипт предназначен для:

• Получить постоянство, вмешиваясь в реестр Windows.
• Установите соединение с C & C (Command & Control) сервером атакующего, который работает с помощью DropBox API.
• Использует сервер C & C для захвата файлов, содержащих зашифрованные команды. После расшифровки команд угроза выполнит их. Результаты этих действий сохраняются в новом зашифрованном файле. Угроза периодически отправляет файл на сервер C & C.

По сути, угроза Сихоста - это инструмент для шпионажа. Этот бэкдор-троян позволит своим операторам собирать информацию с взломанного хоста и передавать ее на сервер злоумышленников.

Понятно, что вредоносное ПО Sihost не предназначено для случайных пользователей. Эта угроза имеет очень низкий коэффициент заражения, и ее жертвы, по-видимому, находятся в китайском регионе, что заставляет экспертов полагать, что троян Sihost был разработан специально для протестующих из Гонконга. Угроза очень хорошо разработана, и очевидно, что опытные киберпреступники создали троян-бэкдор Sihost.