Rabattoffert för flera licenser
Hotdatabas Fjärradministrationsverktyg Kampanj mot skadlig kod med dubbla nyttolast

Kampanj mot skadlig kod med dubbla nyttolast

Med Mezo år Fjärradministrationsverktyg, Reklamprogram
Översätt till:

En nyligen avslöjad skadlig kampanj drar till sig stor uppmärksamhet inom cybersäkerhetsgemenskapen på grund av dess förmåga att distribuera två distinkta hot samtidigt. En enda obfuskerad laddare används för att leverera både Gh0st RAT och CloverPlus till samma komprometterade system.

Denna kombination är både ovanlig och mycket strategisk. Gh0st RAT möjliggör fullständig fjärrkontroll över den infekterade maskinen, medan CloverPlus fokuserar på att manipulera webbläsaraktivitet, injicera annonskomponenter och generera intäkter genom påträngande popup-fönster. Den dubbla implementeringen gör det möjligt för hotande aktörer att upprätthålla obehörig åtkomst samtidigt som de tjänar pengar på infektionen i realtid.

Denna kampanj belyser en växande trend mot leverans av flera nyttolaster, där angripare maximerar operativ effektivitet och ekonomisk avkastning från en enda kompromiss.

Förvirringstaktik: Att dölja nyttolasten

Laddaren i kärnan av den här kampanjen är konstruerad för smygande. Den bäddar in två krypterade nyttolaster i sin resurssektion och använder obfuskeringstekniker för att kringgå traditionella detekteringsmekanismer.

Körningen börjar med CloverPlus-annonsmodulen, identifierad som AdWare.Win32.CloverPlus och associerad med en körbar fil med namnet wiseman.exe. Denna komponent modifierar webbläsarens startinställningar och injicerar ihållande popup-annonser.

Efter detta utvärderar laddaren sin exekveringsväg. Om den inte körs från systemets %temp%-katalog skapar den en kopia av sig själv där innan den fortsätter. Nästa steg innebär att dekryptera Gh0st RAT-klientmodulen, som också är dold som en krypterad resurs i den skadliga binärfilen.

När den skadliga programvaran har dekrypterats tilldelar den nyttolasten ett slumpmässigt filnamn och lagrar den i en slumpmässigt namngiven mapp som finns i roten av C:\-enheten, vilket ytterligare komplicerar upptäckt och analys.

Att leva av landet: Tillförlitliga verktyg, ondskefull avsikt

För att köra den dekrypterade nyttolasten använder den skadliga programvaran det legitima Windows-verktyget rundll32.exe. Denna metod möjliggör körning av skadlig kod under täckmantel av en betrodd systemprocess, vilket avsevärt minskar sannolikheten för att utlösa säkerhetsförsvar.

När Gh0st RAT är aktiv börjar den profilera det komprometterade systemet genom att samla in unika identifierare som MAC-adress och hårddiskens serienummer. Dessa uppgifter används för att registrera offret i angriparens kommando- och kontrollinfrastruktur, vilket säkerställer exakt spårning och hantering av infekterade värdar.

Persistensmekanismer: Säkerställa långsiktig åtkomst

Att upprätthålla åtkomst efter systemomstart är ett huvudmål för den här kampanjen. Gh0st RAT uppnår beständighet genom flera tekniker som är djupt inbäddade i operativsystemet:

Ändring av Windows Run-registernyckeln för att säkerställa automatisk körning vid start
Registrering av en skadlig DLL i sökvägen för fjärråtkomsttjänsten under SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Dessa metoder ger skadlig programvara SYSTEM-privilegier när den associerade tjänsten startas, vilket eliminerar behovet av ytterligare användarinteraktion och förstärker den långsiktiga kontrollen.

Upptäckt och försvar: Indikatorer på kompromiss

Effekten av denna kampanj är betydande för både individer och organisationer. Medan annonsprogramvaran stör webbläsarens funktionalitet och ökar exponeringen för skadlig reklam, möjliggör RAT-komponenten datastöld, loggning av tangenttryckningar, kringgående av säkerhet och ihållande privilegierad åtkomst.

Säkerhetsteam bör förbli vaksamma och övervaka följande tecken på intrång:

  • Körning av rundll32.exe som laddar DLL-filer eller icke-standardiserade filändelser från ovanliga eller misstänkta kataloger
  • Processaktivitet som kommer från mappen %temp%
  • Obehöriga ändringar av registerkörnycklar eller konfigurationer av RemoteAccess-tjänster
  • Användning av pingbaserade fördröjningar för att undvika sandlådedetektering
  • Onormala DNS-trafikmönster och oväntade ändringar i systemets värdfil

Proaktiv övervakning och snabb respons på dessa signaler är avgörande för att minska riskerna som denna sofistikerade kampanj med dubbla hot mot skadlig kod utgör.

Trendigt

Bekräfta ny e-postbedrägeri om sekretessuppdateringar

Nätfiske, Spam
Oväntade e-postmeddelanden som kräver omedelbara åtgärder bör alltid behandlas med försiktighet. Cyberbrottslingar döljer ofta skadliga meddelanden som legitima aviseringar för att utnyttja förtroende och utlösa panik. Det är viktigt att inse att bedrägerier som e-postmeddelandena "Bekräfta ny integritets- och säkerhetsuppdatering" inte är kopplade till några legitima företag, organisationer...

Mest sedda

Läser in...