Novi APT malver čeka klikove mišem da bi izbegao detekciju antivirusa
Opisi virusa, 03.04.2013, 09:15 AM
Istraživači firme FireEye otkrili su novi APT (advanced persistent threat) malver koji koristi nekoliko tehnika kako bi izbegao otkrivanje, a između ostalog vrši monitoring nad klikovima mišem, kako bi pratio interakciju korisnika sa zaraženim računarom.
Reč je o malveru Trojan.APT.BaneChant, koji se distribuira putem emailova u Word dokumentu koji je opremljen exploit-om. Naziv dokumenta je „Islamski džihad.doc“ (prevod).
U FireEye veruju da se exploit-om „naoružani“ dokument koristi u napadima na vlasti Bliskog istoka i Centralne Azije.
Napad se odvija u nekoliko faza. Maliciozni dokument se preuzima i izvršava komponentu koja pokušava da ustanovi da li je operativno okruženje virtuelizovano (antivirusnim sandbox-om ili sistemom za automatsku analizu malvera), čekajući bilo kakvu aktivnost miša pre nego što započne drugu fazu napada.
Ovo nije nova tehnika za izbegavanje detekcije, ali malveri koji su je do sada koristili obično bi čekali jedan jedini klik mišem. Ovaj Trojanac čeka najmanje tri klika mišem pre nego što dekodira URL i preuzme backdoor program koji je maskiran kao .JPG fajl.
Malver koristi i druge tehnike. Tokom prve faze napada, maliciozni fajl preuzima dropper komponentu sa ow.ly URL-a, koji nije maliciozni domen već servis za skraćivanje linkova. Razlog za korišćenje ovog servisa je da se izbegnu servisi sa „crnim listama“ URL-ova koji su aktivni na napadnutom računaru.
Iz istog razloga, tokom druge faze napada, maliciozni .JPG fajl se preuzima sa URL-a generisanog sa NO-IP dinamičkim DNS servisom.
Nakon učitavanja prve komponente, .JPG fajl ostavlja svoju kopiju nazvanu GoogleUpdate.exe u „C:\Program Files\Google\Update\”.
Backdoor program prikuplja i šalje podatke o sistemu serveru za komandu i kontrolu. On podržava i nekoliko komandi uključujući i onu za preuzimanje i izvršenje dodatnih fajlova na zaraženom računaru.
Trojanac BaneChant i njemu slični malveri pokazuju da evolucija malicioznih programa u stopu prati napredak odbrambene tehnologije.
Izdvojeno
Scareware prevara CypherLoc: lažna upozorenja i prevaranti koji se predstavljaju kao tehnička podrška
Istraživači kompanije Barracuda upozorili su na novu scareware prevaru pod nazivom „CypherLoc“, koja koristi iskačuće prozore i lažn... Dalje
Reaper: novi malver za macOS zaobilazi Appleove zaštite i krade lozinke i kripto novčanike
Istraživači kompanije SentinelOne upozorili su na novu pretnju pod nazivom Reaper, infostealer malver za macOS koji se predstavlja kao legitimno sis... Dalje
Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke
Novi kradljivac informacija pod nazivom Storm pojavio se početkom 2026. na forumima ya sajber kriminal, donoseći promenu u načinu krađe podataka. ... Dalje
Lažni Claude AI instalater širi PlugX malver na Windows sistemima
Lažni instalater za Claude AI koristi se za širenje PlugX malvera na Windows sistemima, upozoravaju istraživači iz kompanije Malwarebytes. Prema n... Dalje
Infinity Stealer cilja macOS: lažni CAPTCHA navodi korisnike da sami pokrenu malver
Nova infostealer pod nazivom Infinity Stealer cilja korisnike macOS-a, kombinujući socijalni inženjering i napredne tehnike izbegavanja detekcije. I... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





