Den InnfiRAT Malware er en nyopdaget trussel, som omfatter en sofistikeret cryptocurrency tyveri modul. Det er skrevet ved hjælp af .NET Framework og retter sig mod Windows-maskiner i særdeleshed.
Cryptocurrency Holdere under angreb af The InnfiRAT Malware
Sikkerhed forskere har opdaget et nyt angreb kampagne bærer en trussel kaldet InnfiRAT malware. Det bliver distribueret af en ukendt hacking kollektiv, i betragtning af, at de infiltrationer er bedømt som avancerede forventer vi, at de er meget erfarne. Malware kan spredes ved hjælp af en lang række metoder såsom følgende:
- Phishing strategier - De kriminelle kan sende e-mails og orkestrere hjemmesider, der efterligner webtjenester og virksomheder. Når de er interageret med dem den respektive malware vil blive anvendt.
- payload Carriers - Den virus installation kode kan placeres i app installatører eller dokumenter (som scripts). Et andet eksempel er oprettelsen af plugins til de mest populære webbrowsere.
I en af de tilfangetagne prøver de analytikere har identificeret, at den skadelige kode er fundet i en falske NVIDIA driver setup fil. Når køre den relevante sekvens vil blive kørt. Det begynder med en fil check, som søger om malware app er køres fra en predesignated placering. Det vil blive brugt til at infiltrere systemet og implementere dem i systemet steder for at gøre det vanskeligere at opdage. Når filen er blevet placeret i deres respektive placering vil det afkode hovedmotor og starte det. Hvad er særligt interessant ved det er, at det er krypteret.
Ved starten af virus indsættelsen et af de første skridt det gør, er lanceringen af en sikkerhed bypass. Det vil begynde at analysere hukommelse og harddiskens indhold de og finde ud af om der er nogen kørende sikkerhedsapplikationer eller tjenester, der kan blokere den korrekte virusinfektion: virtuelle maskiner værter, sandkasse miljøer, anti-virus programmer, firewalls og intrusion detection systemer.
Hvis der findes ingen af disse på et givet system infektionen fortsætter. Det næste trin i infektionsprocessen er informationsindsamling - det vil udtrække en lang liste af oplysninger maskine og brugerdata. Listen over hardware oplysninger, der er erhvervet, er følgende:
fabrikant anordning, billedtekst, navn, processor identitetsoplysninger, antallet af kerner, L2 cache størrelse, L3 cache størrelse og socket betegnelse.
Udover data om netværksstatus og geolocation oplysninger er også kapret: IP-adressen på værten systemet, samt byen, område, land, postnummer. Hvis maskinen er en del af en organisation eller virksomhed, der vil også blive vist. Det næste skridt vil være at starte en Trojan-modul der vil etablere en sikker forbindelse til en hacker-kontrolleret server og lade de kriminelle controllere at kapre deres maskiner.
InnfiRAT Malware Trojanske Operations
De trojanske operationer omfatter muligheden for at tilføre de mest populære webbrowsere og kapre deres operationer, samt dræbe dem:
- Google Chrome
- Generisk Browser
- Mozilla Firefox
- Opera
- ven
- komet
- Fakkel
- Orbitum
De trojanske operationer tillader fjernangribere at udspionere ofrene i realtid og dræbe browservinduer. Den tyveri af browser cookies og historie gør det muligt for kriminelle at kontrollere, hvorvidt computerbrugere bruger cryptocurrency på nogen måde: lagring, overførsel og andre aktiviteter.
Det kan også kontrollere hukommelsen for eventuelle kørende processer og skabe nye tegnebøger i de respektive programmer. De apps vil skabe tegnebøger i dem og indstille dem som standard. Det betyder, at de operationer, der er gjort af brugerne normalt vil påvirke dem. Alle brugerinteraktion kan også blive omdirigeret til denne tegnebog. Som en konsekvens ofrene ikke vil være klar over, at eventuelle pengeoverførsler rettet mod dem vil blive afleveret til hackere.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: