El silencio es el nombre de un nuevo troyano (y el grupo de hackers detrás de él), descubierto en septiembre por los investigadores de Kaspersky Lab. El ataque dirigido se sitúa en instituciones financieras, y en este punto sus víctimas son principalmente los bancos rusos, así como las organizaciones en Malasia y Armenia.
Resumen de amenazas
Nombre | El silencio de Troya |
Escribe | Banca de Troya |
Descripción breve | El troyano está ganando acceso permanente a las redes bancarias internas, hacer grabaciones de vídeo de las actividades diarias de las máquinas de los empleados del banco. |
Los síntomas | El silencio de Troya característica principal es su capacidad para tomar capturas de pantalla repetidas, tomada en intervalos pequeños, de escritorio de la víctima. Se ha construido con la idea de permanecer sin ser detectados en los sistemas de destino. |
Método de distribución | correos electrónicos de phishing |
Herramienta de detección |
Ver si su sistema ha sido afectado por malware
Descargar
Herramienta de eliminación de software malintencionado
|
Experiencia de usuario | Unirse a nuestro foro para hablar sobre el silencio de Troya. |
Herramienta de recuperación de datos | Ventanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad. |
En estos ataques, Los autores del silencio estaban usando una técnica muy eficiente piratería - el acceso permanente a las redes bancarias internas, hacer grabaciones de vídeo de las actividades diarias de las máquinas de los empleados del banco, adquiriendo así conocimientos sobre cómo se está utilizando el software. Este conocimiento se aplicó más tarde para robar tanto dinero como sea posible.
Vale la pena mencionar que los investigadores han observado con anterioridad en esta técnica Carbanak dirigido operaciones. Como se explica en el original informe, el vector de infección es un correo electrónico de phishing con un accesorio malicioso. Un escenario digno de mención del ataque silencio es que los delincuentes ya habían puesto en peligro la infraestructura bancaria con el fin de enviar sus mensajes de correo electrónico de phishing de las direcciones de los empleados del banco real, de modo que se ven como no sospechoso de lo posible a las víctimas futuras.
Malicioso .chm Adjunto parte de la campaña de silencio de Troya
El archivo adjunto detectado en estas últimas campañas ha sido identificada como una Microsoft ayuda HTML Compilado expediente. Se trata de un formato propietario de ayuda en línea de Microsoft que consiste en una colección de páginas HTML, indexación y otras herramientas de navegación, investigadores explican. Estos archivos se comprimen y se despliegan en un formato binario con el CHM (HTML compilado) extensión. Ellos son altamente interactivos y pueden realizar una serie de tecnologías como JavaScript. Los archivos se pueden redirigir una víctima hacia una URL externa después de la simple apertura del mecanismo de facilitación.
Una vez que el archivo adjunto es abierto por la víctima, el archivo .htm contenido incrustado (“Start.htm”) es ejecutado. Este archivo contiene JavaScript, y su objetivo es descargar y ejecutar otra etapa desde una URL codificada.
Poco dicho, los correos electrónicos de phishing enviados a las víctimas, que contienen una CHM (HTML compilado) Archivo adjunto. Al descargar y abrir el archivo adjunto, el archivo CHM se ejecutará comandos JavaScript listo para descargar e instalar una carga maliciosa conocido como un gotero. En el caso del ataque de Troya Silencio, esta carga útil ha sido identificado como un ejecutable Win32 desplegado para recopilar datos sobre los huéspedes infectados. Los datos recogidos se envía típicamente a C de los atacantes&Servidores C.
En una etapa posterior, cuando una máquina objetivo se perfila como valiosa para la operación, los atacantes envían una carga útil de la segunda etapa - el propio silencio de Troya.
El silencio de Troya - Especificaciones Técnicas
El silencio de Troya característica principal es su capacidad para tomar capturas de pantalla repetidas, tomada en intervalos pequeños, de escritorio de la víctima. Las capturas de pantalla son luego cargados en el C&servidor de C, donde se crea un flujo pseudo-vídeo en tiempo real.
¿Por qué son los autores del Trojan usando capturas de pantalla en lugar de un video? Es posible que hayan elegido esta forma de registrar las actividades de los empleados, ya que utiliza menos recursos informáticos y ayuda a que el troyano no se detectan. Esta puede ser la razón por la operación se llama Silencio.
Una vez que se recoge todos los datos, los cibercriminales pueden revisar las capturas de pantalla para localizar datos valiosos, tales como la búsqueda de direcciones URL de los sistemas de gestión internos de dinero, continuar su operación.
La etapa final de la operación se basa en la explotación de las herramientas de administración de Windows legítimos para hacerse pasar el troyano en su fase final. Esta técnica ha sido utilizada previamente por Carbanak.
La mejor manera de protegerse contra ataques dirigidos a las entidades financieras es el despliegue de capacidades de detección avanzadas que se encuentran en una solución que pueda detectar todos los tipos de anomalías y también examinar los archivos sospechosos a un nivel más profundo, los investigadores dicen.
SpyHunter escáner sólo detecta la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter