Eine unbekannte Hacking-Gruppe, die aus China stammen vermutet wird, wurde einen massiven Angriff global mit einer trojanisiert Version des Erzählers Dienst mit dem pcshare Malware starten gefunden. Dies ist besonders gefährlich, da die laufende Kampagne zielt auf Technologieunternehmen und Unternehmensnetzwerke. Es funktioniert durch den legitimen Windows-Dienst zu ersetzen, den Teil der Accessibility Suite.
Infizierte Erzähler Windows-Dienst mit dem pcshare Trojan Global gestartet
Ein Sicherheitsbericht zeigt an, dass ein unbekannter Hacker-Kollektiv, vermutlich aus China, eine gefährliche Malware die pcshare Trojan genannt startet die Netzwerke auf der ganzen Welt zu infizieren gesetzt. Nach Angaben der Forscher, die die Bedrohung der Malware Nutzung der ungewöhnlichen Taktik macht der Austausch des legitimen Service des Windows-Betriebssystem entdeckt genannt Erzähler Das ist die Hauptbildschirm-Leseanwendung.
Der genaue Mechanismus des Eindringens des pcshare Trojan ist die beabsichtigten Hosts zu infizieren und dann den legitimen Sprecher Service mit einer böswilligen Version ersetzen. Die genaue Verteilung des Trojaners erfolgt in erster Linie über E-Mail-Phishing-Kampagnen - die beabsichtigten Opfer werden Nachrichten empfangen, die entworfen sind Stammkunden zu imitieren, die über namhafte Unternehmen oder Dienstleistungen an sie gesendet werden. Die Alternative ist, zu fälschen ihre Homepages, Zielseiten oder Login-Eingabeaufforderungen und hosten sie auf ähnlich klingenden Domain-Namen. Sie können auch Sicherheitszertifikate enthalten, die gefälscht werden können, gestohlen oder selbstsignierte die Besucher zu glauben, dass sie eine sichere Website besuchen.
Interessanterweise wird der pcshare Trojan Loader von einer Seite geladen legitime NVIDIA DLL geliefert, die Teil der Grafikkartentreiber für den Windows-Betriebssystem ist. Sein Zweck ist es, ein Start des bösartigen Inhalt zu entschlüsseln, die die zweite Stufe des Trojaners ist. Da dies über ein erfolgtes Speichereinspritzung - die tatsächliche binäre Datei fallen gelassen nie auf der Festplatte des Opfers. Dies wird parallel ein erfolgtes anti-Sandbox-Technik die ausgelegt ist, die installierten Sicherheitsprodukte und Dienstleistungen zu umgehen oder ganz entfernen. Dies ist vor allem gegen Anwendungen wie Anti-Viren-Programme durchgeführt, Sandbox-Umgebungen, Firewalls, Einbruchmeldeanlagen und usw..
Pcshare Trojan Capabilities
Sobald der Trojaner auf dem Opfersystem eingeleitet wird, wird es zu zahlreichen Malware-Module führen, die ausgeführt werden sollen,. Die meisten von ihnen basieren auf Open-Source-Malware, die im Angriff Kampagne modifiziert wurden,. Der Haupt Trojan wird eine sichere Verbindung zu einem Hacker-kontrollierten Server etabliert damit die Kriminellen ermöglichen Maschinen übernehmen die Kontrolle über die betroffenen. Auf diese Weise können sie auch wertvolle Daten und Informationen stehlen, sowie andere Bedrohungen installieren und.
Wenn der berechtigte Sprecher Dienst mit dem bösartigen ersetzt wird, wird es über Administratorrechte erlangt so dass sie Zugang zu allen wichtigen Systembereichen gewinnen. Die pcshare Trojan und die eingesetzten Schadmodule umfassen die Installation eines Keylogger die aktiv überwacht die Tastatureingabe des Benutzers für die möglichen Anmeldeinformationen wie Passwörter. Wenn eine solche Strings erkannt werden, werden sie an die Kriminellen weitergeleitet.