Pratite nas preko RSS-aNovi APT malver čeka klikove mišem da bi izbegao detekciju antivirusa
Opisi virusa, 03.04.2013, 09:15 AM
Istraživači firme FireEye otkrili su novi APT (advanced persistent threat) malver koji koristi nekoliko tehnika kako bi izbegao otkrivanje, a između ostalog vrši monitoring nad klikovima mišem, kako bi pratio interakciju korisnika sa zaraženim računarom.
Reč je o malveru Trojan.APT.BaneChant, koji se distribuira putem emailova u Word dokumentu koji je opremljen exploit-om. Naziv dokumenta je „Islamski džihad.doc“ (prevod).
U FireEye veruju da se exploit-om „naoružani“ dokument koristi u napadima na vlasti Bliskog istoka i Centralne Azije.
Napad se odvija u nekoliko faza. Maliciozni dokument se preuzima i izvršava komponentu koja pokušava da ustanovi da li je operativno okruženje virtuelizovano (antivirusnim sandbox-om ili sistemom za automatsku analizu malvera), čekajući bilo kakvu aktivnost miša pre nego što započne drugu fazu napada.
Ovo nije nova tehnika za izbegavanje detekcije, ali malveri koji su je do sada koristili obično bi čekali jedan jedini klik mišem. Ovaj Trojanac čeka najmanje tri klika mišem pre nego što dekodira URL i preuzme backdoor program koji je maskiran kao .JPG fajl.
Malver koristi i druge tehnike. Tokom prve faze napada, maliciozni fajl preuzima dropper komponentu sa ow.ly URL-a, koji nije maliciozni domen već servis za skraćivanje linkova. Razlog za korišćenje ovog servisa je da se izbegnu servisi sa „crnim listama“ URL-ova koji su aktivni na napadnutom računaru.
Iz istog razloga, tokom druge faze napada, maliciozni .JPG fajl se preuzima sa URL-a generisanog sa NO-IP dinamičkim DNS servisom.
Nakon učitavanja prve komponente, .JPG fajl ostavlja svoju kopiju nazvanu GoogleUpdate.exe u „C:\Program Files\Google\Update\”.
Backdoor program prikuplja i šalje podatke o sistemu serveru za komandu i kontrolu. On podržava i nekoliko komandi uključujući i onu za preuzimanje i izvršenje dodatnih fajlova na zaraženom računaru.
Trojanac BaneChant i njemu slični malveri pokazuju da evolucija malicioznih programa u stopu prati napredak odbrambene tehnologije.
Izdvojeno
Lažni imejlovi instaliraju malver UpCrypter na Windows računarima
FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malv... Dalje
PromptLock: era AI ransomware-a je počela
Istraživači iz kompanije ESET otkrili su prvi AI ransomware, prototip nazvan PromptLock, koji koristi model Open AI za generisanje skripti koje cilj... Dalje
Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike
Iako se često misli da su Mac računari bezbedniji od Windowsa, nova kampanja koju je otkrio CrowdStrike pokazuje da su i macOS korisnici sve češć... Dalje
Lažna ChatGPT desktop aplikacija širi malver PipeMagic
Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje
Novi trojanac Efimer se širi preko hakovanih WordPress sajtova i imejlova
Istraživači iz kompanije Kaspersky otkrili su novog trojanca nazvanog Efimer, koji zamenjuje adrese kripto novčanika direktno u clipboardu. Jedan k... Dalje
Pratite nas
Nagrade
Prijatelji
