Dimnie er navnet på en nylig rapporteret ny malware familie, som er blevet flyvende under radaren i mere end tre år, forskere på Palo Alto Networks sige.
Dimnie Malware Teknisk oversigt
Den malware blev angribe open source-udviklere via phishing e-mails i januar 2017, og det er sådan det blev opdaget. Angrebene er involveret fordelingen af en .doc-fil indeholder indlejret makro kode til at udføre en PowerShell-kommando. Det endelige mål var download og udførelse af en skadelig fil.
Relaterede: Latentbot - Advanced Backdoor med snigende Capabilities
Forskerne fandt ud af, at de første prøver af Dimnie malware dateres tilbage til begyndelsen 2014. Stykket blev opdaget i så lang tid på grund af den snigende C&C-metoder. Dengang, Dimnie målrettet russisktalende som også hjalp det flyve under radaren i over tre år.
Ved første inspektion, alt ser ud til at følge den samme formel som mange ”traditionelle” malware kampagner: e-mail lokke, ondsindet vedhæftet fil, makro, PowerShell Downloader, og endelig en binær nyttelast. Undersøgelse af nyttelast kommunikation fået os til at hæve vores øjenbryn.
Den seneste kampagne gik globalt og kunne hente mere malware med det formål at stjæle oplysninger.
Hovedsagelig, Dimnie fungerer som en downloader og har et modulært design, der indeholder forskellige oplysninger stjæle funktionaliteter. Hvert modul injiceres i hukommelsen af centrale Windows processer, hvilket gør analyse endnu mere kompliceret, forskere forklare.
Mens undersøge Dimnie kommunikation med sin C&C server, forskerne afsløret, at den beskæftiger HTTP Proxy anmodninger til Google PageRank tjeneste, en tjeneste, der ikke længere er offentlig.
Dimnie bruger denne funktion til at oprette en angiveligt legit HTTP-proxy anmodning til en Google-tjeneste. Men, Google PageRank tjeneste (toolbarqueries.google.com) er blevet langsomt udfaset siden 2013 og som af 2016 er ikke længere åben for offentligheden. Derfor, den absolutte URI i anmodningen HTTP er for en ikke-eksisterende service og serveren ikke optræder som en proxy. Denne tilsyneladende RFC kompatibel anmodning er blot camouflage.
Relaterede: DiamondFox Botnet stjæler finansielle oplysninger
Desuden, HTTP trafik afslørede, at malware bruger en AES nøgle til at dekryptere nyttelast tidligere krypterede via AES 256 i ECB-tilstand.