Sihost

Protestat në Hong Kong kanë zgjatur për një kohë të gjatë tani, dhe qeveria kineze duket se po humbet durimin e saj dhe po drejton disa teknika inovative. Kohët e fundit, u zbulua se Pekini kishte punësuar një aktor kërcënimi për të synuar protestuesit në Hong Kong. Protestuesit e synuar do të merrnin një email që maskohet si një mesazh nga një student i drejtësisë nga Perëndimi. Në mesazh, sulmuesit pretendojnë se janë të interesuar në protesta dhe i kërkojnë marrësit 'rekomandime për t'i dhënë fund protestave në Hong Kong.' Sulmuesit do të bashkëngjitnin tre skedarë në emailin mashtrues - dy origjinale dhe një që duket si një '. Dokumenti i RTF-së, por është një. Dosja LNK '. Masifikimi i këtij skedari të korruptuar si një dokument i padëmshëm bëhet duke përdorur një zgjatim të dyfishtë, një mashtrim mjaft të vjetër, por efektiv.

Përdor një skedar '.PNG' të maskuar si një imazh

'. Dosjet e LNK shërbejnë si një lidhje, dhe në rastin e kësaj fushate të Pekinit, ". Dosja LNK 'çon në një skedar' msiexec.exe ', i cili është origjinal. '. Skedari LNK që i bashkëngjitet emailit të rremë duhet të ekzekutojë skedarin 'msiexec.exe' dhe ta shkarkojë një skedar nga GitHub. Dosja në fjalë duket se është një '. Imazhi i PNG, por funksionon si i ekzekutueshëm. Ky ekzekutues përdoret për të gjeneruar qindra skedarë të rremë. Midis tyre është ngarkesa fillestare që ndodhet në 'siHost64'.

aftësitë

Dosja% APPDATA% do të përmbajë një skenar Python të quajtur 'siHost64'. Ky skenar ka për qëllim:

  • Fitoni këmbëngulje duke shkelur me Regjistrin e Windows.
  • Vendosni një lidhje me serverin C&C (Command & Control) të sulmuesve, i cili funksionon me ndihmën e API DropBox.
  • Përdor serverin C&C për të rrëmbyer skedarë që përmbajnë komanda të koduara. Pas deshifrimit të komandave, kërcënimi do t'i ekzekutojë ato. Rezultatet e këtyre veprimeve ruhen në një skedar të ri të koduar. Kërcënimi do të eksfiltrojë skedarin në serverin C&C në mënyrë periodike.

Në thelb të tij, kërcënimi Sihost është një mjet për spiunimin. Ky Trojan i prapambetur do të lejojë operatorët e tij të mbledhin informacione nga hosti i kompromentuar dhe t'i transferojnë ato në serverin e sulmuesve.

Shtë e qartë se malware Sihost nuk ka për qëllim të synojë përdoruesit e rastit. Ky kërcënim ka një raport shumë të ulët infeksioni, dhe viktimat e tij duket se gjenden në rajonin kinez, gjë që ka bërë që ekspertët të besojnë se Sihost Trojan është zhvilluar për të synuar në mënyrë ekskluzive protestuesit e Honk Kong. Kërcënimi është shumë i zhvilluar, dhe është e qartë se kriminelët me përvojë në internet kanë krijuar Trojan në prapavijë të Sihost.

Në trend

Më e shikuara

Po ngarkohet...