Pratite nas preko RSS-aNovi APT malver čeka klikove mišem da bi izbegao detekciju antivirusa
Opisi virusa, 03.04.2013, 09:15 AM
Istraživači firme FireEye otkrili su novi APT (advanced persistent threat) malver koji koristi nekoliko tehnika kako bi izbegao otkrivanje, a između ostalog vrši monitoring nad klikovima mišem, kako bi pratio interakciju korisnika sa zaraženim računarom.
Reč je o malveru Trojan.APT.BaneChant, koji se distribuira putem emailova u Word dokumentu koji je opremljen exploit-om. Naziv dokumenta je „Islamski džihad.doc“ (prevod).
U FireEye veruju da se exploit-om „naoružani“ dokument koristi u napadima na vlasti Bliskog istoka i Centralne Azije.
Napad se odvija u nekoliko faza. Maliciozni dokument se preuzima i izvršava komponentu koja pokušava da ustanovi da li je operativno okruženje virtuelizovano (antivirusnim sandbox-om ili sistemom za automatsku analizu malvera), čekajući bilo kakvu aktivnost miša pre nego što započne drugu fazu napada.
Ovo nije nova tehnika za izbegavanje detekcije, ali malveri koji su je do sada koristili obično bi čekali jedan jedini klik mišem. Ovaj Trojanac čeka najmanje tri klika mišem pre nego što dekodira URL i preuzme backdoor program koji je maskiran kao .JPG fajl.
Malver koristi i druge tehnike. Tokom prve faze napada, maliciozni fajl preuzima dropper komponentu sa ow.ly URL-a, koji nije maliciozni domen već servis za skraćivanje linkova. Razlog za korišćenje ovog servisa je da se izbegnu servisi sa „crnim listama“ URL-ova koji su aktivni na napadnutom računaru.
Iz istog razloga, tokom druge faze napada, maliciozni .JPG fajl se preuzima sa URL-a generisanog sa NO-IP dinamičkim DNS servisom.
Nakon učitavanja prve komponente, .JPG fajl ostavlja svoju kopiju nazvanu GoogleUpdate.exe u „C:\Program Files\Google\Update\”.
Backdoor program prikuplja i šalje podatke o sistemu serveru za komandu i kontrolu. On podržava i nekoliko komandi uključujući i onu za preuzimanje i izvršenje dodatnih fajlova na zaraženom računaru.
Trojanac BaneChant i njemu slični malveri pokazuju da evolucija malicioznih programa u stopu prati napredak odbrambene tehnologije.
Izdvojeno
Novi trojanac ChrimeraWire: lažni korisnici, pravi klikovi i SEO prevara
Istraživači kompanije Doctor Web otkrili su novi malver nazvan ChrimeraWire, trojanca koji služi za manipulaciju rangiranjem u pretraživačima tak... Dalje
Lažne ponude za posao na LinkedIn-u služe kao mamac za macOS malver FlexibleFerret
Istraživači Malwarebytes-a su otkrili novi napad usmeren na korisnike Mac računara - lažne ponude za posao koje vode do instalacije malvera preko ... Dalje
DigitStealer: novi macOS infostealer
Novi infostealer za macOS, nazvan DigitStealer, je malver koji krade osetljive informacije od korisnika macOS-a. Većina infostealera krade sličnee t... Dalje
Zloglasni ransomware kartel LockBit obeležio godišnjicu rada najopasnijom verzijom ransomware-a do sada
Trend Micro je otkrio novu verziju ransomware-a LockBit, LockBit 5.0, koja je „značajno opasnija“ od prethodnih verzija. Grupa LockBit ob... Dalje
Novi malver ModStealer u lažnim oglasima za posao
Nakon što je prošlog meseca upozorila na malver za Mac skriven na lažnom sajtu za PDF konverziju, firma Mosyle je otkrila ModStealer, novi malver z... Dalje
Pratite nas
Nagrade
Prijatelji
