En sikkerhed team af eksperter har opdaget en ny generation af malware, der er skabt af den Turla hacking gruppe og kaldes Reductor Trojan. Ifølge de foreliggende forskning er det en efterfølger til den allerede frigivet COMpfun malware, der oprindeligt blev rapporteret om tilbage i 2014. De aktive kampagner, der bærer det ser ud til at være imod mål placeret i Belarus og Rusland.
Reductor Trojan er den nyeste skadelige malware By The Turla hackere
Den Turla hacking gruppe er en erfaren gruppe, der har udtænkt en farlig ny trussel kendt som Reductor Trojan. Det er også ved at blive distribueret af en helt ny teknik.
Den malware modul menes at ske gennem en ny tilgang, der er ikke den klassiske mand-in-the-middle-angreb, som er typisk for disse sager. I stedet malware vil installere sikkerhedscertifikater i webbrowsere således at de fjernangribere at kapre sikre sessioner og private oplysninger. Den likey metode, som er blevet blevet brugt af angriberne er fordelingen af malware-inficerede ansøgning installatører af web-browsere. Et sandsynlige sted at finde dem, er at uploade dem til “warez” sites - skyggefulde steder, der er til stede pirat applikationer og data, der normalt drives af hackere eller svindlere. Der er to sandsynlige scenarier i dette tilfælde:
- copycat Installers - Hackerne kan udgive legitime setup bundter af de populære browsere - de mest populære er Mozilla Firefox og Google Chrome.
- Modificerede App Installers & Brugerdefinerede versioner - Hackerne kan skabe “opdateret” eller “optimeret” versioner af de fælles web-browsere og præsentere dem på de falske websteder. Den anden teknik er at skabe falske nye browsere, der blot omdøbt versioner af de populære programmer, som funktionen viruskoden.
På ethvert tidspunkt distributions- teknikker kan skifte til andre metoder: brugen af fildeling netværk og inddragelse af links til malware-sider via e-mails og sociale netværk profiler, der enten er hacket eller falsk.
Den Reductor Trojan og dens muligheder
Så snart Reductor Trojan er indsat på et givet system sin hovedmotor vil blive startet. Det vil forbinde til en hacker-kontrolleret server, som gør det muligt for hackere at overtage kontrollen med værterne, stjæle deres filer og også installere andre trusler.
Hvad er farligt, er det faktum, at den trojanske vil være i stand til at kapre alle følsomme og sikker trafik, der flyder fra brugerne til internetsider og vice versa. Ved at køre den relevante motor de kriminelle kan foretage en række farlige handlinger. De optagne prøver har vist sig at give følgende:
- hostinfo - Denne kommando vil hente computerens værtsnavn
- gettimeout - Dette vil hente timeout-værdien fra registreringsdatabasen i Windows
- domainlist - Dette vil transmittere den aktuelt anvendte C&C serverdomænet
- downfile - Dette vil hente en given fil fra den inficerede computer
- upfile - Dette vil uploade en fil til det forurenede computer
- muligheder - Giver hackere til at redigere visse værdier i registreringsdatabasen i Windows
- execfile - Dette vil udføre en given fil på den eksterne vært
- nop - Idle
- dræbe - Dette vil slette alle filer og data, der er knyttet til Reductor Trojan. Dette omfatter de digitale certifikater, filer, cookies, Windows Registry værdier og eventuelle relaterede moduler
- slet fil - Dette vil slette en fil på en given lokalitet
- certlist - Dette vil forny de digitale certifikater for den installerede malware
Ud over selve den primære trojanske motor vil hackerne formentlig muliggøre fælles moduler, herunder vedholdende installation en. Det vil redigere boot konfigurationsmuligheder således at hovedmotoren til at starte, så snart operativsystemet er startet. I mange tilfælde vil det også deaktivere adgangen til inddrivelse opstartsmuligheder. Den omstændighed, at hackere målrette sikker trafik giver os grund til at tro, at hacking gruppe er sandsynligvis forsøger at kapre netbank-sessioner. Men andre scenarier vil sandsynligvis også blive brugt til at stjæle følsomme oplysninger, samt overvågning af højt profilerede mål.