Dimnie ist der Name einer kürzlich neue Malware-Familie, die unter dem Radar fliegen seit mehr als drei Jahren wurde, Forscher in Palo Alto Networks sagen.
Dimnie Malware Technischer Überblick
Die Malware wurde Angriff auf Open-Source-Entwickler über Phishing-Mails im Januar 2017, und das ist, wie es entdeckt wurde,. Die Angriffe ging es um die Verteilung eines DOC-Datei Makrocode eingebettet enthält ein Powershell-Befehl auszuführen. Das Endziel war der Download und die Ausführung einer potentiell gefährlichen Datei.
verbunden: Latentbot - Advanced Backdoor mit Stealthy Capabilities
Die Forscher fanden heraus, dass die ersten Proben von Dimnie Malware stammen aus frühen 2014. Das Stück blieb unentdeckt so lange wegen der schleich C&Verfahren C. Damals, Dimnie gezielte russische Lautsprecher, die auch für mehr als drei Jahre unter dem Radar fliegen geholfen.
Bei der ersten Inspektion, alles scheint die gleiche Formel wie viele „traditionelle“ Malware-Kampagnen zu folgen: E-Mail locken, bösartiger Anhang, Makro, Powershell-Downloader, und schließlich ein binäres Payload. die Nutzlast des Prüfungs Kommunikation haben uns veranlasst unsere Augenbrauen zu heben.
Die jüngste Kampagne ging global und könnte mehr Malware mit dem Ziel, Informationen zu stehlen downloaden.
Im Wesentlichen, Dimnie dient als Download und ist modular aufgebaut verschiedene Informationen zu stehlen Funktionalitäten enthalten,. Jedes Modul wird in den Speicher der Kern Windows-Prozesse injiziert, was macht die Analyse noch komplizierter, Forscher erklären.
Bei der Prüfung Dimnie die Kommunikation mit seiner C&C-Server, die Forscher fanden heraus, dass es Anfragen HTTP-Proxy auf den Google PageRank Service beschäftigt, ein Service, der nicht mehr öffentlich ist.
Dimnie nutzt diese Funktion eine vermeintlich legitime HTTP-Proxy-Anforderung an einen Google-Dienst zu erstellen. Jedoch, der Google PageRank Service (toolbarqueries.google.com) da langsam auslaufen wurde 2013 und ab 2016 ist nicht mehr für die Öffentlichkeit zugänglich. Deshalb, die absolute URI in der HTTP-Anforderung für einen nicht vorhandenen Dienst und der Server fungiert nicht als Proxy. Diese scheinbar RFC-konforme Anforderung ist nur Tarnung.
verbunden: DiamondFox Botnet Stiehlt Finanzinformationen
Außerdem, der HTTP-Verkehr offenbart, dass der Schädling ein AES-Schlüssel verwendet Nutzlasten zuvor verschlüsselten über AES zu entschlüsseln 256 im ECB-Modus.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: