CYBER NEWS

Dimnie Malware Stealthy tilstand Endelig Analyseret af forskere

Dimnie er navnet på en nylig rapporteret ny malware familie, som er blevet flyvende under radaren i mere end tre år, forskere på Palo Alto Networks sige.

Dimnie Malware Teknisk oversigt

Den malware blev angribe open source-udviklere via phishing e-mails i januar 2017, og det er sådan det blev opdaget. Angrebene er involveret fordelingen af ​​en .doc-fil indeholder indlejret makro kode til at udføre en PowerShell-kommando. Det endelige mål var download og udførelse af en skadelig fil.

Relaterede: Latentbot - Advanced Backdoor med snigende Capabilities

Forskerne fandt ud af, at de første prøver af Dimnie malware dateres tilbage til begyndelsen 2014. Stykket blev opdaget i så lang tid på grund af den snigende C&C-metoder. Dengang, Dimnie målrettet russisktalende som også hjalp det flyve under radaren i over tre år.

Ved første inspektion, alt ser ud til at følge den samme formel som mange ”traditionelle” malware kampagner: e-mail lokke, ondsindet vedhæftet fil, makro, PowerShell Downloader, og endelig en binær nyttelast. Undersøgelse af nyttelast kommunikation fået os til at hæve vores øjenbryn.

Den seneste kampagne gik globalt og kunne hente mere malware med det formål at stjæle oplysninger.
Hovedsagelig, Dimnie fungerer som en downloader og har et modulært design, der indeholder forskellige oplysninger stjæle funktionaliteter. Hvert modul injiceres i hukommelsen af ​​centrale Windows processer, hvilket gør analyse endnu mere kompliceret, forskere forklare.

Mens undersøge Dimnie kommunikation med sin C&C server, forskerne afsløret, at den beskæftiger HTTP Proxy anmodninger til Google PageRank tjeneste, en tjeneste, der ikke længere er offentlig.

Dimnie bruger denne funktion til at oprette en angiveligt legit HTTP-proxy anmodning til en Google-tjeneste. Men, Google PageRank tjeneste (toolbarqueries.google.com) er blevet langsomt udfaset siden 2013 og som af 2016 er ikke længere åben for offentligheden. Derfor, den absolutte URI i anmodningen HTTP er for en ikke-eksisterende service og serveren ikke optræder som en proxy. Denne tilsyneladende RFC kompatibel anmodning er blot camouflage.

Relaterede: DiamondFox Botnet stjæler finansielle oplysninger

Desuden, HTTP trafik afslørede, at malware bruger en AES nøgle til at dekryptere nyttelast tidligere krypterede via AES 256 i ECB-tilstand.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...