En ukendt hacking gruppe, der mistænkes at stamme fra Kina har vist sig at lancere et massivt angreb på globalt plan ved hjælp af en Trojanized version af Oplæser tjeneste med PcShare malware. Dette er især farlig som den igangværende kampagne er målrettet teknologivirksomheder og virksomhedsnetværk. Det virker ved at erstatte den legitime Windows-tjeneste, som er en del af tilgængelighed suite.
Inficerede Fortæller Windows Service With The PcShare Trojan lanceret globalt
En sikkerhed rapport viser, at en ukendt hacking kollektive, formentlig fra Kina, lancerer en farlig malware kaldet PcShare Trojan, som er indstillet til at inficere netværk rundt om i verden. Ifølge forskerne, der opdagede truslen malware gør brug af den usædvanlige taktik for at erstatte den legitime tjeneste af Windows-operativsystemet kaldet fortæller som er den vigtigste skærm-læsning ansøgning.
Den nøjagtige mekanisme af indbrud i PcShare Trojan er at inficere de tilsigtede værter og derefter erstatte den legitime Oplæser service med en ondsindet udgave. Den nøjagtige fordeling af den trojanske sker hovedsageligt via e-mail phishing kampagner - de tilsigtede ofre vil modtage beskeder, der er designet til at efterligne regelmæssige dem, der sendes til dem via kendte virksomheder eller tjenester. Alternativet er at eftergøre deres hjemmesider, landing sider eller login prompter og være vært for dem på lignende klingende domænenavne. De kan også omfatte sikkerhedscertifikater, der kan forfalsket, stjålet eller selvsigneret at gøre de besøgende tror, at de besøger et sikkert sted.
Interessant PcShare trojanske loader leveres af en side-loaded legitimt NVIDIA DLL som er en del af grafikkortet driver til Windows-operativsystemet. Dens formål er at dekryptere en begyndelse den skadelige payload, som er den anden fase af den trojanske. Da dette sker via en hukommelse injektion - den faktiske binære fil er aldrig faldet på ofrets harddisk. Dette gøres parallelt med en anti-sandboxing teknik som er udformet til at omgå eller helt fjerne de installerede sikre produkter og tjenester. Dette gøres hovedsageligt mod applikationer såsom anti-virus programmer, sandkasse miljøer, firewalls, intrusion detection systemer og etc.
PcShare trojanske Capabilities
Så snart den trojanske påbegyndes på offeret systemet det vil føre til en lang række malware moduler, der skal køres. De fleste af dem er baseret på open source malware, som er blevet ændret i angrebet kampagne. Den væsentligste trojanske vil etablere en sikker forbindelse til en hacker-kontrollerede server således at de kriminelle til at overtage kontrollen af de berørte maskiner. Dette giver dem også mulighed for at stjæle værdifulde data og information, samt installere andre trusler samt.
Når den legitime Oplæser tjeneste er erstattet med den ondsindede en det vil få administratorrettigheder gør det muligt at få adgang til alle vigtige system sektioner. Den PcShare Trojan og de udsendte ondsindede moduler omfatter installation af en keylogger der vil aktivt overvåge brugerens tastatur input til eventuelle legitimationsoplysninger såsom adgangskoder. Hvis der registreres sådanne strenge, de vil blive fremsendt til de kriminelle.