Stille ist der Name eines neuen Trojan (und die Hacker-Gruppe dahinter), im September von den Kaspersky-Lab-Forscher entdeckt. Der gezielte Angriff wird gegen Finanzinstitute, und an diesem Punkt seine Opfer sind in erster Linie die russischen Banken, sowie Organisationen in Malaysia und Armenien.
Threat Zusammenfassung
Name | Stiller Trojan |
Art | Banking-Trojaner |
kurze Beschreibung | Der Trojaner gewinnt persistent Zugriff auf interne Netzwerke im Bankenbereich, Durchführung von Videoaufzeichnungen der täglichen Aktivitäten der Mitarbeiter Maschinen der Bank. |
Symptome | Stille Trojan Hauptmerkmal ist seine Fähigkeit, wiederholt Screenshots zu nehmen, in kleinen Intervallen genommen, des Desktops des Opfers. Es wurde mit der Idee, unentdeckt auf gezielte Systeme zu bleiben. |
Verteilungsmethode | Spear-Phishing-E-Mails |
Detection Tool |
Überprüfen Sie, ob Ihr System von Malware betroffen ist
Herunterladen
Malware Removal Tool
|
Benutzererfahrung | Abonnieren Sie unseren Forum zu Besprechen Schweigen Trojan. |
Data Recovery-Tool | Windows Data Recovery von Stellar Phoenix Beachten! Dieses Produkt scannt Ihr Laufwerk Sektoren verlorene Dateien wiederherzustellen, und es kann sich nicht erholen 100% der verschlüsselten Dateien, aber nur wenige von ihnen, je nach Situation und ob Sie das Laufwerk neu formatiert haben. |
Bei diesen Angriffen, Silence Autoren wurden mit einem sehr effizienten Hacking-Technik - gewinnen persistent Zugriff auf interne Netzwerke im Bankenbereich, Durchführung von Videoaufzeichnungen der täglichen Aktivitäten der Mitarbeiter Maschinen der Bank, also den Erwerb von Kenntnissen, wie die Software benutzt wird. Dieses Wissen wurde später angewandt, so viel Geld wie möglich zu stehlen.
Es ist erwähnenswert, dass die Forscher zuvor mit dieser Technik beobachtet haben in Carbanak Operationen gezielt. Wie im Original erklärt Bericht, der Infektionsvektor ist eine Speer-Phishing-E-Mail mit einem bösartigen Anhang. Eine bemerkenswerte Etappe von Silence-Angriff ist, dass die Cyber-Kriminelle bereits die Banken-Infrastruktur, um kompromittiert hatten ihre Speer Phishing-E-Mails von den Adressen der realen Bankangestellten zu senden, so dass sie als unverdächtig wie möglich aussehen zu künftigen Opfer.
Bösartige CHM Anhang Teil der Stille der Trojan-Kampagne
Die Anlage in diesen neuesten Kampagnen erkannt wurde als identifiziert Chm Datei. Dies ist ein proprietäres Microsoft-Online-Hilfeformat, das aus einer Sammlung von HTML-Seiten besteht, Indizierung und andere Navigations-Tools, Forscher erklären. Diese Dateien werden komprimiert und in einem Binärformat mit dem CHM-Einsatz (kompilierte HTML) Erweiterung. Sie sind sehr interaktiv und können eine Reihe von Technologien wie JavaScript laufen. Die Dateien können ein Opfer zu einer externen URL umleiten nach einfach den CHM Öffnung.
Einmal wird die Anlage durch das Opfer geöffnet, die eingebettete HTM Inhaltsdatei („Start.htm“) ausgeführt wird. Diese Datei enthält JavaScript, und ihr Ziel ist es zum Download und eine weitere Stufe von einer fest codierten URL ausführen.
Kurz gesagt, die Speer-Phishing-E-Mails an die Opfer verschickt, sie enthalten eine CHM (kompilierte HTML) Dateianhang. Nach dem Herunterladen und Öffnen der Befestigung, die CHM-Datei wird JavaScript-Befehle ausführen Satz eine schädliche Nutzlast bekannt als Tropfer zum Herunterladen und Installieren. Im Fall des Stille Trojan Angriffs, Diese Nutzlast wurde als Win32-Programm eingesetzt, um Daten auf infizierten Hosts identifiziert. Die gesammelten Daten werden typischerweise auf den Angreifer C geschickt&C-Server.
Zu einem späteren Zeitpunkt, wenn eine gezielte Maschine als wertvoll für den Betrieb skizziert, die Angreifer senden zweite Stufe Nutzlast - the Silence Trojan selbst.
Stiller Trojan - Technische Daten
Stille Trojan Hauptmerkmal ist seine Fähigkeit, wiederholt Screenshots zu nehmen, in kleinen Intervallen genommen, des Desktops des Opfers. Die Screenshots werden dann an die C hochgeladen&C-Server, wo ein Echtzeit-Pseudo-Videostrom erzeugt wird,.
Warum sind die Trojan Autoren Screenshots anstelle eines Video? Sie können auf diese Weise gewählt haben Aktivitäten der Aufzeichnung der Mitarbeiter, weil es weniger Computerressourcen verwendet und hilft den Trojaner unerkannt bleiben. Dies mag der Grund sein, wird der Vorgang genannt Stille.
Sobald alle Daten gesammelt, die Cyber-Kriminelle können die Screenshots überprüfen wertvolle Daten zu lokalisieren, wie URLs von internen Money-Management-Systeme zu finden,, weiterhin ihren Betrieb.
Die letzte Phase der Operation wird rund um die Ausbeutung von legitimen Windows-Administrationstool gebaut, um den Trojaner in der Endphase zu maskieren. Diese Technik wurde verwendet, die zuvor von Carbanak.
Der beste Weg, um gegen gezielte Angriffe auf Finanzorganisationen zu schützen, ist die erweiterten Erkennungs-Funktionen in einer Lösung gefunden zu implementieren, die alle Arten von Anomalien erkennen und prüfen auch verdächtige Dateien auf einer tieferen Ebene, Forscher sagen,.
SpyHunter Scanner erkennt nur die Bedrohung. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren