Dimnie es el nombre de una nueva familia de malware informó recientemente que ha estado volando bajo el radar durante más de tres años, los investigadores de Palo Alto Networks decir.
Dimnie descripción técnica de malware
El software malicioso estaba atacando a los desarrolladores de código abierto a través de correos electrónicos de phishing en enero 2017, y así es como se descubrió. Los ataques incluyeron la distribución de un archivo .doc que contengan incrustados código de macro para ejecutar un comando de PowerShell. El objetivo final era la descarga y ejecución de un archivo malicioso.
Relacionado: Latentbot - la puerta trasera avanzado con capacidades furtivos
Los investigadores descubrieron que las primeras muestras de software malicioso Dimnie fecha de nuevo a principios de 2014. La pieza permaneció sin detectar durante tanto tiempo a causa de la sigiloso C&métodos C. En aquel momento, Dimnie dirigido habla rusa que también ayudaron a volar bajo el radar durante más de tres años.
En una inspección inicial, todo parece seguir la misma fórmula que muchas campañas de malware “tradicionales”: señuelo de correo electrónico, adjunto malicioso, macro, descargador PowerShell, y, finalmente, una carga útil binaria. El examen de las comunicaciones de la carga útil nos hizo levantar las cejas.
La campaña más reciente se hizo global y podría descargar más malware con el fin de robar información.
Esencialmente, Dimnie sirve como un programa de descarga y tiene un diseño modular que contiene varias funcionalidades que roba información. Cada módulo se inyecta en la memoria de los procesos principales de Windows, lo cual hace que el análisis aún más complicado, investigadores explican.
Al examinar la comunicación de Dimnie con su C&Servidor C, los investigadores descubrieron que emplea solicitudes proxy HTTP para el servicio de Google PageRank, un servicio que ya no es pública.
Dimnie utiliza esta función para crear una solicitud de proxy HTTP supuestamente legítimo a un servicio de Google. Sin embargo, el servicio Google PageRank (toolbarqueries.google.com) se ha eliminado lentamente desde 2013 y como de 2016 ya no está abierta al público. Por lo tanto, el URI absoluto en la petición HTTP es para un servicio inexistente y el servidor no está actuando como un proxy. Esta solicitud aparentemente compatibles con RFC no es más que el camuflaje.
Relacionado: DiamondFox Botnet Roba Información Financiera
Adicionalmente, el tráfico HTTP reveló que el malware utiliza una clave AES de cargas útiles para descifrar cifrados previamente a través de AES 256 en modo ECB.