Tavshed er navnet på en ny trojansk (og hacking gruppen bag det), opdaget i september af Kaspersky Labs forskere. Den målrettede angreb er sat mod pengeinstitutter, og på dette tidspunkt sine ofre er primært russiske banker, samt organisationer i Malaysia og Armenien.
Trussel Summary
| Navn | Silence Trojan |
| Type | Banking Trojan |
| Kort beskrivelse | Den trojanske vinder vedholdende adgang til interne bank netværk, gør videooptagelser af daglige aktiviteter i bankens medarbejder maskiner. |
| Symptomer | Silence Trojan vigtigste funktion er dens evne til at tage gentagne skærmbilleder, taget ved små intervaller, af ofrets skrivebordet. Det er blevet bygget med den idé at bo uopdaget på målrettede systemer. |
| Distributionsmetode | Spyd-phishing-e-mails |
| Værktøj Detection |
Se, om dit system er blevet påvirket af malware
Hent
Værktøj til fjernelse af malware
|
Brugererfaring | Tilmeld dig vores forum at diskutere Silence Trojan. |
| Data Recovery Tool | Windows Data Recovery af Stellar Phoenix Varsel! Dette produkt scanner dine drev sektorer til at gendanne mistede filer, og det kan ikke komme sig 100% af de krypterede filer, men kun få af dem, afhængigt af situationen og uanset om du har omformateret drevet. |
I disse angreb, Silence forfattere brugte en meget effektiv hacking teknik - få vedvarende adgang til interne bank netværk, gør videooptagelser af daglige aktiviteter i bankens medarbejder maskiner, og dermed får viden om, hvordan softwaren bliver brugt. Denne viden blev senere anvendt til at stjæle så mange penge som muligt.
Det er værd at nævne, at forskere tidligere har observeret denne teknik i Carbanak målrettede operationer. Som forklaret i den oprindelige rapport, infektionen vektoren er et spyd-phishing e-mail med en ondsindet vedhæftet fil. En bemærkelsesværdig etape fra Silence angreb er, at cyberkriminelle allerede havde kompromitteret bank infrastruktur for at sende deres spyd-phishing e-mails fra adresser på ægte bankansatte, så de ser så umistænksomme som muligt for fremtidige ofre.
Ondsindet .chm Attachment En del af Silence Trojan kampagne
Den påvist i disse seneste kampagner vedhæftet fil er blevet identificeret som en Microsoft kompileret HTML Hjælp fil. Dette er en Microsoft proprietære online hjælp format, der består af en samling af HTML-sider, indeksering og andre navigationssystemer værktøjer, forskere forklare. Disse filer er komprimeret og indsat i et binært format med .chm (kompileret HTML) udvidelse. De er meget interaktiv og kan køre en række teknologier som JavaScript. Filerne kan omdirigere et offer i retning af en ekstern webadresse efter blot at åbne CHM.
Når den vedhæftede fil åbnes af offeret, den integrerede .htm indholdsfilen (”Start.htm”) udføres. Denne fil indeholder JavaScript, og dens mål er at downloade og eksekvere en anden etape fra en hardcodede webadresse.
Kort sagt, Spyddet-phishing e-mails sendt ud til ofre, indeholde en CHM (kompileret HTML) vedhæftet fil. Ved at downloade og åbner den vedhæftede fil, CHM fil vil køre JavaScript kommandoer indstillet til at hente og installere et ondsindet nyttelast kendt som en pipette. I tilfældet med den Silence trojanske angreb, denne nyttelast er blevet identificeret som en Win32 eksekverbar indsat for at indsamle data om inficerede værter. De indsamlede data sendes typisk til angriberne C&C-servere.
På et senere tidspunkt, når en målrettet maskine er skitseret som værdifuld for driften, angriberne sende et andet trin nyttelast - Silence trojanske selv.
Silence Trojan - Tekniske specifikationer
Silence Trojan vigtigste funktion er dens evne til at tage gentagne skærmbilleder, taget ved små intervaller, af ofrets skrivebordet. Skærmbillederne derefter uploades til C&C server, hvor en real-time pseudo-videostream er skabt.
Hvorfor den trojanske forfattere hjælp screenshots i stedet for en video? De kan have valgt denne måde at optage medarbejdernes aktiviteter, fordi det bruger færre computerressourcer og hjælper den trojanske forblive uopdaget. Dette kan være årsagen til, at operationen kaldes Silence.
Når alle data er indsamlet, de cyberkriminelle kan gennemgå screenshots at finde værdifulde data såsom at finde URL'er interne penge management systemer, at fortsætte deres drift.
Den sidste fase af operationen er bygget op omkring udnyttelsen af legitime Windows administrationsværktøjer til maskerade den trojanske i sin afsluttende fase. Denne teknik er tidligere blevet anvendt af Carbanak.
Den bedste måde at beskytte mod målrettede angreb på finansielle organisationer er at implementere avancerede sporingskapaciteten findes i en løsning, der kan registrere alle typer af uregelmæssigheder og også granske mistænkelige filer på et dybere niveau, siger forskerne.
SpyHunter scanner vil kun afsløre truslen. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: