Pratite nas preko RSS-aNovi APT malver čeka klikove mišem da bi izbegao detekciju antivirusa
Opisi virusa, 03.04.2013, 09:15 AM
Istraživači firme FireEye otkrili su novi APT (advanced persistent threat) malver koji koristi nekoliko tehnika kako bi izbegao otkrivanje, a između ostalog vrši monitoring nad klikovima mišem, kako bi pratio interakciju korisnika sa zaraženim računarom.
Reč je o malveru Trojan.APT.BaneChant, koji se distribuira putem emailova u Word dokumentu koji je opremljen exploit-om. Naziv dokumenta je „Islamski džihad.doc“ (prevod).
U FireEye veruju da se exploit-om „naoružani“ dokument koristi u napadima na vlasti Bliskog istoka i Centralne Azije.
Napad se odvija u nekoliko faza. Maliciozni dokument se preuzima i izvršava komponentu koja pokušava da ustanovi da li je operativno okruženje virtuelizovano (antivirusnim sandbox-om ili sistemom za automatsku analizu malvera), čekajući bilo kakvu aktivnost miša pre nego što započne drugu fazu napada.
Ovo nije nova tehnika za izbegavanje detekcije, ali malveri koji su je do sada koristili obično bi čekali jedan jedini klik mišem. Ovaj Trojanac čeka najmanje tri klika mišem pre nego što dekodira URL i preuzme backdoor program koji je maskiran kao .JPG fajl.
Malver koristi i druge tehnike. Tokom prve faze napada, maliciozni fajl preuzima dropper komponentu sa ow.ly URL-a, koji nije maliciozni domen već servis za skraćivanje linkova. Razlog za korišćenje ovog servisa je da se izbegnu servisi sa „crnim listama“ URL-ova koji su aktivni na napadnutom računaru.
Iz istog razloga, tokom druge faze napada, maliciozni .JPG fajl se preuzima sa URL-a generisanog sa NO-IP dinamičkim DNS servisom.
Nakon učitavanja prve komponente, .JPG fajl ostavlja svoju kopiju nazvanu GoogleUpdate.exe u „C:\Program Files\Google\Update\”.
Backdoor program prikuplja i šalje podatke o sistemu serveru za komandu i kontrolu. On podržava i nekoliko komandi uključujući i onu za preuzimanje i izvršenje dodatnih fajlova na zaraženom računaru.
Trojanac BaneChant i njemu slični malveri pokazuju da evolucija malicioznih programa u stopu prati napredak odbrambene tehnologije.
Izdvojeno
Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke
Novi kradljivac informacija pod nazivom Storm pojavio se početkom 2026. na forumima ya sajber kriminal, donoseći promenu u načinu krađe podataka. ... Dalje
Lažni Claude AI instalater širi PlugX malver na Windows sistemima
Lažni instalater za Claude AI koristi se za širenje PlugX malvera na Windows sistemima, upozoravaju istraživači iz kompanije Malwarebytes. Prema n... Dalje
Infinity Stealer cilja macOS: lažni CAPTCHA navodi korisnike da sami pokrenu malver
Nova infostealer pod nazivom Infinity Stealer cilja korisnike macOS-a, kombinujući socijalni inženjering i napredne tehnike izbegavanja detekcije. I... Dalje
Tiha oluja: novi kradljivac lozinki Storm menja pravila igre
Istraživači iz Varonisa otkrili su novu varijantu infostealer malvera pod nazivom Storm, koja prikuplja kredencijale pregledača, kolačiće sesije... Dalje
Malver DeepLoad kombinuje ClickFix i AI-generisani kod za izbegavanje detekcije
Nova kampanja malvera, nazvana DeepLoad, kombinuje socijalni inženjering i tehnike izbegavanja generisane veštačkom inteligencijom kako bi kompromi... Dalje
Pratite nas
Nagrade
Prijatelji
