Pratite nas preko RSS-aNovi APT malver čeka klikove mišem da bi izbegao detekciju antivirusa
Opisi virusa, 03.04.2013, 09:15 AM
Istraživači firme FireEye otkrili su novi APT (advanced persistent threat) malver koji koristi nekoliko tehnika kako bi izbegao otkrivanje, a između ostalog vrši monitoring nad klikovima mišem, kako bi pratio interakciju korisnika sa zaraženim računarom.
Reč je o malveru Trojan.APT.BaneChant, koji se distribuira putem emailova u Word dokumentu koji je opremljen exploit-om. Naziv dokumenta je „Islamski džihad.doc“ (prevod).
U FireEye veruju da se exploit-om „naoružani“ dokument koristi u napadima na vlasti Bliskog istoka i Centralne Azije.
Napad se odvija u nekoliko faza. Maliciozni dokument se preuzima i izvršava komponentu koja pokušava da ustanovi da li je operativno okruženje virtuelizovano (antivirusnim sandbox-om ili sistemom za automatsku analizu malvera), čekajući bilo kakvu aktivnost miša pre nego što započne drugu fazu napada.
Ovo nije nova tehnika za izbegavanje detekcije, ali malveri koji su je do sada koristili obično bi čekali jedan jedini klik mišem. Ovaj Trojanac čeka najmanje tri klika mišem pre nego što dekodira URL i preuzme backdoor program koji je maskiran kao .JPG fajl.
Malver koristi i druge tehnike. Tokom prve faze napada, maliciozni fajl preuzima dropper komponentu sa ow.ly URL-a, koji nije maliciozni domen već servis za skraćivanje linkova. Razlog za korišćenje ovog servisa je da se izbegnu servisi sa „crnim listama“ URL-ova koji su aktivni na napadnutom računaru.
Iz istog razloga, tokom druge faze napada, maliciozni .JPG fajl se preuzima sa URL-a generisanog sa NO-IP dinamičkim DNS servisom.
Nakon učitavanja prve komponente, .JPG fajl ostavlja svoju kopiju nazvanu GoogleUpdate.exe u „C:\Program Files\Google\Update\”.
Backdoor program prikuplja i šalje podatke o sistemu serveru za komandu i kontrolu. On podržava i nekoliko komandi uključujući i onu za preuzimanje i izvršenje dodatnih fajlova na zaraženom računaru.
Trojanac BaneChant i njemu slični malveri pokazuju da evolucija malicioznih programa u stopu prati napredak odbrambene tehnologije.
Izdvojeno
Zloglasni ransomware kartel LockBit obeležio godišnjicu rada najopasnijom verzijom ransomware-a do sada
Trend Micro je otkrio novu verziju ransomware-a LockBit, LockBit 5.0, koja je „značajno opasnija“ od prethodnih verzija. Grupa LockBit ob... Dalje
Novi malver ModStealer u lažnim oglasima za posao
Nakon što je prošlog meseca upozorila na malver za Mac skriven na lažnom sajtu za PDF konverziju, firma Mosyle je otkrila ModStealer, novi malver z... Dalje
Novi malver Raven Stealer krade lozinke i podatke o plaćanju iz Chrome-a i Edge-a
Tim za obaveštajnu analizu pretnji Lat61 kompanije Point Wild otkrio je novi malver nazvan Raven Stealer, koji je dizajniran da tiho i brzo krade pod... Dalje
MostereRAT: novi trojanac preuzima potpunu kontrolu nad Windows uređajima
Istraživači iz FortiGuard Labs upozoravaju na novi malver nazvan MostereRAT, koji se širi putem phishing kampanje i cilja korisnike Windows uređaj... Dalje
“Besplatni” krekovani program može biti skupa lekcija
Istraživači iz kompanije Trend Micro upozoravaju na novu kampanju Atomic macOS Stealer (AMOS) malvera, koji cilja korisnike macOS-a maskirajući se ... Dalje
Pratite nas
Nagrade
Prijatelji
