Попуст за више лиценци
Тхреат Датабасе Алати за удаљену администрацију Кампања са двоструким корисним оптерећењем злонамерним...

Кампања са двоструким корисним оптерећењем злонамерним софтвером

До Mezo. у Алати за удаљену администрацију, Адваре
Преведи на:

Новооткривена кампања злонамерног софтвера привлачи значајну пажњу у заједници за сајбер безбедност због своје способности да истовремено распореди две различите претње. Један обфусцирани програм за учитавање користи се за испоруку и Gh0st RAT-а и CloverPlus-а на исти угрожени систем.

Ова комбинација је и неуобичајена и веома стратешка. Gh0st RAT омогућава потпуну даљинску контролу над зараженом машином, док се CloverPlus фокусира на манипулисање активностима прегледача, убризгавање рекламних компоненти и генерисање прихода путем наметљивих искачућих прозора. Двоструко распоређивање омогућава актерима претњи да одржавају стални неовлашћени приступ док истовремено монетизују инфекцију у реалном времену.

Ова кампања истиче растући тренд испоруке вишеструких корисних оптерећења, где нападачи максимизирају оперативну ефикасност и финансијски повраћај из једног компромиса.

Тактике замагљивања: Прикривање корисног терета

Програм за учитавање података у сржи ове кампање је пројектован за прикривеност. Уграђује два шифрована корисна терета унутар свог одељка са ресурсима, користећи технике замагљивања како би избегао традиционалне механизме детекције.

Извршавање почиње са адвер модулом CloverPlus, идентификованим као AdWare.Win32.CloverPlus и повезаним са извршном датотеком под називом wiseman.exe. Ова компонента мења подешавања покретања прегледача и убацује трајне искачуће огласе.

Након тога, програм за учитавање података процењује путању извршавања. Ако не ради из системског %temp% директоријума, креира своју копију тамо пре него што настави. Следећа фаза укључује дешифровање Gh0st RAT клијентског модула, који је такође скривен као шифровани ресурс унутар бинарног програма злонамерног софтвера.

Једном дешифрован, злонамерни софтвер додељује насумично име датотеке корисном терету и чува га у насумично именованој фасцикли која се налази у корену C:\ диска, што додатно компликује откривање и анализу.

Живот од земље: Поуздани алати, злонамерна намера

Да би извршио дешифровани корисни терет, злонамерни софтвер користи легитимни Windows услужни програм rundll32.exe. Овај приступ омогућава извршавање злонамерног кода под маском поузданог системског процеса, значајно смањујући вероватноћу активирања безбедносне одбране.

Једном активан, Gh0st RAT почиње да профилише угрожени систем прикупљањем јединствених идентификатора као што су MAC адреса и серијски број чврстог диска. Ови подаци се користе за регистрацију жртве унутар нападачеве командно-контролне инфраструктуре, обезбеђујући прецизно праћење и управљање зараженим хостовима.

Механизми истрајности: Обезбеђивање дугорочног приступа

Одржавање приступа након поновног покретања система је кључни циљ ове кампање. Gh0st RAT постиже постојаност кроз више техника уграђених дубоко у оперативни систем:

Измена кључа регистра Windows Run како би се осигурало аутоматско извршавање при покретању
Регистрација злонамерне DLL датотеке унутар путање сервиса за удаљени приступ под SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Ове методе дају злонамерном софтверу привилегије на нивоу СИСТЕМА кад год се покрене повезана услуга, елиминишући потребу за даљом интеракцијом корисника и јачајући дугорочну контролу.

Детекција и одбрана: Индикатори компромитовања

Утицај ове кампање је значајан и за појединце и за организације. Док адвер компонента омета функционалност прегледача и повећава изложеност злонамерном оглашавању, RAT компонента омогућава крађу података, евидентирање откуцаја тастера, заобилажење безбедности и трајни привилеговани приступ.

Безбедносни тимови треба да остану будни и прате следеће индикаторе угрожавања:

  • Извршавање rundll32.exe учитавањем DLL-ова или нестандардних екстензија датотека из необичних или сумњивих директоријума
  • Активност процеса која потиче из фасцикле %temp%
  • Неовлашћене измене кључева регистра за покретање или конфигурација сервиса RemoteAccess
  • Коришћење кашњења заснованих на пингу ради избегавања детекције у sandbox-у
  • Ненормални обрасци DNS саобраћаја и неочекиване промене у системској датотеци hosts

Проактивно праћење и брз одговор на ове сигнале су кључни за ублажавање ризика које представља ова софистицирана кампања злонамерног софтвера са двоструком претњом.

У тренду

Потврдите нову превару путем е-поште са ажурирањем...

Пецање, Спам
Неочекиване имејлове који захтевају хитну акцију увек треба третирати са опрезом. Сајбер криминалци често прикривају злонамерне поруке као легитимна обавештења како би злоупотребили поверење и изазвали панику. Важно је препознати да преваре попут имејлова „Потврдите ново ажурирање безбедности приватности“ нису повезане ни са једном легитимном компанијом, организацијом или ентитетом, без обзира...

Најгледанији

Учитавање...