Ein neues Stück, was zu sein scheint, sehr gezielte Malware wurde bei AlienVault von Forschern entdeckt. Der neue Malware-Stamm, genannt GzipDe und höchstwahrscheinlich in Cyber-Spionage Kampagnen, verwendet einen Artikel über die Shanghai Cooperation Organization Gipfel nächste.
Mehr zu dem GzipDe Malware Betrieb
Ungefähr vor einer Woche, Forscher entdeckt, diesen Bereich ein neues Schad Dokument Targeting. Offenbar, das Dokument einen Text aus dem Bericht als Lockvogel einbezogener.
AlienVault entdeckte ein Sprengfallen versehen Word-Dokument auf Virustotal, die von einem Benutzer aus Afghanistan veröffentlicht wurde. Dies ist, wie sie ausgegraben die Malware.
Das oben genannte Sprengfallen versehen Dokument (.doc-Datei) ist der erste Schritt einer mehrstufigen Infektion in dem mehrere Server und Artefakten eingesetzt werden. Die letzte Stufe des schädlichen Betrieb erscheint die Installation eines Metasploit Backdoor zu sein. Jedoch, dies ist nicht so interessant wie die .NET-Downloader, welche verwendet ein kundenspezifische Verschlüsselungsverfahren Prozessspeicher zu verschleiern und Antivirus-Erkennung entziehen.
Das böswillige Dokument ausgetrickst Benutzer in ermöglicht Makros, Aktivierungsstatus einmal ein Visual Basic-Skript ausgeführt. Dann lief das Skript einige Powershell-Code, die heruntergeladen anschließend eine ausführbare PE32. Der Prozess mit dem eigentlichen Malware beendet - GZipDe - die Forscher berichtet.
GZipDe erscheint in .NET kodiert werden, und es ist so konzipiert, zu verwenden, “ein individuelles Verschlüsselungsverfahren Prozessspeicher und entziehen Virenerkennung zu verschleiern.” Da der ursprüngliche Zweck von GzipDe ist als Download zu handeln, bedeutet dies, dass die Malware ein gefährlicheres Stück von einem Remote-Server herunterlädt. Jedoch, während des Forschers Untersuchung, der Remote-Server war, über die in der Regel die Analyse beenden würde. Jedoch, es stellte sich heraus Shodan, die IoT-Suchmaschine, den Server indiziert und nahm es sogar ein Metasploit Nutzlast dient.
Der Server, 175.194.42[.]8, liefert eine Metasploit Payload. Es enthält Shellcode zu Bypass-System Detektions (da sieht es einen gültigen DOS-Header haben) und eine Nutzlast Meterpreter – ein fähiger backdoor. Beispielsweise, es kann Informationen aus dem System sammeln und kontaktiert die Kommando- und Kontrollserver ferne Befehle empfangen.
Außerdem, der Shellcode lädt die gesamte DLL in den Speicher, so dass es zu arbeiten, während keine Daten auf die Platte geschrieben werden. Dieser Vorgang ist bekannt als Reflective DLL-Injektion. Von diesem Punkt, Der Angreifer kann jede andere Nutzlast übertragen, um zu erfassen und Rechte innerhalb des lokalen Netzwerks bewegen, Die Forscher stellten fest.