Et nyt stykke, hvad der synes at være, meget målrettet malware er blevet opdaget af forskere på AlienVault. Den nye malware belastning, døbt GzipDe og sandsynligvis brugt i cyber-spionage kampagner, bruger en artikel om den næste Shanghai Cooperation Summit Organisation.
Mere om GzipDe Malware Operation
Om en uge siden, forskere opdaget en ny ondsindet dokument rettet mod dette område. Tilsyneladende, dokumentet er medtaget et stykke tekst taget fra rapporten som en lokkedue.
AlienVault opdagede en mineret Word-dokument på VirusTotal som blev offentliggjort af en bruger fra Afghanistan. Dette er, hvordan de afdækket malware.
Den ovennævnte mineret dokument (.doc-fil) er det første trin i en flertrins infektion, hvor flere servere og artefakter er indsat. Den sidste fase af den ondsindede operation synes at være installation af et Metasploit bagdør. Men, dette er ikke så interessant som .NET Downloader, der bruger et tilpasset krypteringsmetode at sløre proces hukommelse og omgå antivirus detektion.
Den ondsindede dokument lokket brugere ind muliggør makroer, som engang aktiveret henrettet en Visual Basic-script. Så scriptet kørte nogle PowerShell kode, som efterfølgende hentet en PE32 eksekverbar. Processen endte med den faktiske malware - GZipDe - forskerne rapporteret.
GZipDe synes at være kodet i .NET, og det er designet til at bruge “en tilpasset krypteringsmetode at sløre proces hukommelse og omgå antivirus detektion.” Da det oprindelige formål med GzipDe er at virke som en downloader, Det betyder, at malware vil hente en mere farlig stykke fra en ekstern server. Men, i løbet af forskernes undersøgelse, den eksterne server var forbi som normalt ville ende analysen. Men, det viste sig Shodan, tingenes internet søgemaskine, indekseret serveren og selv indspillet det tjener et Metasploit nyttelast.
serveren, 175.194.42[.]8, sender et Metasploit nyttelast. Den indeholder shellcode til bypass-system afsløring (da det ser ud til at have en gyldig DOS header) og en Meterpreter nyttelast – en dygtig bagdør. For eksempel, det kan indsamle oplysninger fra systemet og kontakte kommando og kontrol-server til at modtage yderligere kommandoer.
Desuden, den shellcode indlæser hele DLL i hukommelsen, således at det til at fungere, mens ingen oplysninger skrives ind i disken. Denne operation er kendt som Reflective DLL injektion. Fra dette punkt, hackeren kan sende enhver anden nyttelast for at erhverve øgede rettigheder og bevæge sig inden for det lokale netværk, forskerne konkluderede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: