Casa > Ciber Noticias > El modo sigiloso de Dimnie Malware finalmente analizado por investigadores
CYBER NOTICIAS

Dimnie malware modo invisible Finalmente analizados por investigadores

Dimnie es el nombre de una nueva familia de malware informó recientemente que ha estado volando bajo el radar durante más de tres años, los investigadores de Palo Alto Networks decir.

Dimnie descripción técnica de malware

El software malicioso estaba atacando a los desarrolladores de código abierto a través de correos electrónicos de phishing en enero 2017, y así es como se descubrió. Los ataques incluyeron la distribución de un archivo .doc que contengan incrustados código de macro para ejecutar un comando de PowerShell. El objetivo final era la descarga y ejecución de un archivo malicioso.

Relacionado: Latentbot - la puerta trasera avanzado con capacidades furtivos

Los investigadores descubrieron que las primeras muestras de software malicioso Dimnie fecha de nuevo a principios de 2014. La pieza permaneció sin detectar durante tanto tiempo a causa de la sigiloso C&métodos C. En aquel momento, Dimnie dirigido habla rusa que también ayudaron a volar bajo el radar durante más de tres años.

En una inspección inicial, todo parece seguir la misma fórmula que muchas campañas de malware “tradicionales”: señuelo de correo electrónico, adjunto malicioso, macro, descargador PowerShell, y, finalmente, una carga útil binaria. El examen de las comunicaciones de la carga útil nos hizo levantar las cejas.

La campaña más reciente se hizo global y podría descargar más malware con el fin de robar información.
Esencialmente, Dimnie sirve como un programa de descarga y tiene un diseño modular que contiene varias funcionalidades que roba información. Cada módulo se inyecta en la memoria de los procesos principales de Windows, lo cual hace que el análisis aún más complicado, investigadores explican.

Al examinar la comunicación de Dimnie con su C&Servidor C, los investigadores descubrieron que emplea solicitudes proxy HTTP para el servicio de Google PageRank, un servicio que ya no es pública.

Dimnie utiliza esta función para crear una solicitud de proxy HTTP supuestamente legítimo a un servicio de Google. Sin embargo, el servicio Google PageRank (toolbarqueries.google.com) se ha eliminado lentamente desde 2013 y como de 2016 ya no está abierta al público. Por lo tanto, el URI absoluto en la petición HTTP es para un servicio inexistente y el servidor no está actuando como un proxy. Esta solicitud aparentemente compatibles con RFC no es más que el camuflaje.

Relacionado: DiamondFox Botnet Roba Información Financiera

Adicionalmente, el tráfico HTTP reveló que el malware utiliza una clave AES de cargas útiles para descifrar cifrados previamente a través de AES 256 en modo ECB.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo