Los analistas de seguridad detectan una nueva campaña de ataque que se centra en llevar a Ucrania una nueva arma peligrosa - el malware alimañas. De acuerdo con los informes publicados esta es una versión muy actualizada del Quasar de Troya que se ha personalizado aún más con código personalizado. El código permite a los criminales peligrosos para superar el control total de los dispositivos comprometidos.
La plaga de malware se ha desatado
Una campaña reciente ataque contra los dispositivos ubicados en Ucrania ha llevado al descubrimiento de un nuevo malware peligroso llamado alimañas. Los investigadores detectaron que las infecciones señalan que se trata de un tenedor de la Quasar troyano que contiene una gran cantidad de mejoras en el código y adiciones personalizados. Esto hace que sea un arma formidable debido al hecho de que no se asocia directamente con los patrones de comportamiento del motor Quasar y el malware originales. El ataque enfocado que se sitúa en el país está relacionada con dos escenarios de caso bajo consideración. El primero está relacionado con el hecho de que es posible que los operadores de hackers han pre-configurado el ataque utilizando una lista confeccionada de objetivos. La segunda propuesta se atribuye al hecho de que el motor puede extraer información detallada acerca de la configuración regional. El uso de la información adquirida el motor malware puede activarse si considera que los dispositivos comprometidos son viables. En otros casos puede borrarse a sí mismo para evitar ser detectados.
Los ataques se inician principalmente a través de los mensajes difundidos a través redes sociales, una de las principales tácticas era utilizar varios perfiles de Twitter y enlace a la falsa documentos infectados. Pueden ser de diferentes tipos incluyendo: documentos de texto enriquecido, presentaciones y hojas de cálculo. Los criminales detrás de él el uso tácticas de ingeniería social que coaccionar a las víctimas en la interacción con los archivos. Ellos se hacen aparecer como documentos realizados por el Ministerio de Defensa del país. Los archivos contienen un ejecutable de extracción de señuelo que activa el código de malware que conduce a las infecciones.
Las tácticas de infiltración de animales dañinos malware - el proceso de malware
Una vez que las infecciones han iniciado una conexión segura con un servidor pirata informático controlado está establecido. Lo interesante es que los operadores utilizan el protocolo SOAP en lugar de HTTP comunes. Se utiliza principalmente para el intercambio de información estructurada y una de las razones por las cuales se ha preferido es el hecho de que el software de seguridad automatizado por lo general no la marca el protocolo, ya que no se puede incluir en las firmas estándar. Un análisis detallado muestra que las campañas en curso disponen de diferentes cepas personalizadas. Todos ellos se construyen utilizando parámetros variables que pueden hacer que la eliminación difícil en el caso de que múltiples infecciones se dirigen a la misma red.
Las primeras comprobaciones que se realizan después de que los infecta de malware están relacionados con la configuración regional. El motor de malware es capaz de crear una perfil detallado de los dispositivos de la víctima. Esto incluye tanto métricas anónimas y los datos de identificación personal. La primera categoría está relacionada con variables de información del hardware y del sistema. Se utiliza principalmente por los operadores de hackers para juzgar la eficacia de los ataques son. La segunda categoría se compone de datos que se pueden exponer directamente la identidad de la víctima. Se compone de cadenas que están relacionados con su nombre, dirección, número telefónico, geolocalización, las preferencias y las credenciales de la cuenta.
Los especialistas indican que el código alimañas mira hacia fuera para cuatro idiomas de entrada específicos: ru – ruso, Reino Unido – ucranio, ru-ru – Rusia y el Reino Unido-ua – ucranio. Si alguna de las comprobaciones pasa la infección continúa adicionalmente. Las medidas de seguimiento están relacionados con la descarga de componentes adicionales de malware. Son en forma encriptada y se descifran en la marcha, así como ejecutados poco después de que. Durante esta fase de inicialización de los piratas informáticos pueden permitir una la protección de sigilo que puede pasar por alto cualquier servicio de seguridad detectados. Esto incluye cajas de arena, máquinas virtuales y entornos de depuración. El motor de software malicioso puede pasar por alto o eliminarlos de acuerdo con las instrucciones incorporadas. En algunos casos, si encuentra que es incapaz de hacer lo que puede borrarse a sí mismo para evitar ser detectados.
Además de todo lo demás los analistas descubrieron que la amenaza instala una keylogger. Se incrusta en los diversos procesos de malware y disfrazado Servicio de impresora Adobe. El proceso puede recoger varias piezas de información - todas las pulsaciones, movimiento del ratón o las interacciones individuales como se define por los operadores. La información recogida es encriptada y se almacena en una ubicación de carpeta:
%appdata% Microsoft Proof Configuración.{ED7BA470-8E54-465E-825C-99712043E01C}\perfiles .
Cada archivo de registro individual se graba con el siguiente formato: "{0:dd-MM-aaaa}.TXT".
Capacidades de sabandijas de malware
Una vez que el software malicioso alimañas tiene acceso a la computadora y se ha infiltrado en los procesos del sistema mediante la conexión a ellos y crear sus propios hilos de los módulos de permitir que los delincuentes para lanzar una variedad de comandos. Esto se realiza mediante la conexión de red segura especial a través del protocolo SOAP citado. La lista completa incluye las siguientes opciones:
- ArchiveAndSplit - Archivo Archivos de destino y dividirlas en las Partes
- CancelDownloadFile - cancelar una transferencia de archivos que ejecutan
- CancelUploadFile - Cancelación de un proceso en ejecución Subir
- CheckIfProcessIsRunning - Comprueba si un proceso de destino está ejecutando.
- CheckIfTaskIsRunning - consulta el sistema para un proceso en ejecución específica.
- Crear carpeta - Para hacer una nueva carpeta en la ubicación especificada
- Borrar archivos - Elimina un archivo de destino.
- Eliminar carpeta - Comandos del malware eliminar una carpeta Set.
- Descargar archivo - Recupera un archivo desde una ubicación remota.
- GetMonitors - Comprueba si hay alguna aplicación que pueden ser la supervisión del sistema.
- GetProcesses - Recupera la lista de procesos en ejecución.
- Proceso de matanza - Se detiene los procesos en ejecución.
- ReadDirectory - lee el contenido del directorio de destino.
- Renombrar archivo - Cambiar el nombre de archivos de destino.
- RunKeyLogger - Ejecuta el módulo Keylogger.
- SetMicVolume - Permite ajustar el volumen del micrófono.
- ShellExec - Ejecuta comandos proporcionados.
- Captura de Home Audio - permite que el audio de la vigilancia.
- StartCaptureScreen - permite que el módulo de pantalla.
- StopAudioCapture - desactiva el audio de la vigilancia.
- StopCaptureScreen - desactiva el módulo de pantalla.
- UpdateBot - Actualiza el módulo de virus de la plaga de Ejecución.
- Subir archivo - Transfiere un archivo en el servidor de comando.
Se han encontrado los siguientes dominios estar relacionado con las campañas de ataque hasta el momento:
akamaicdn[.]ru
cdnakamai[.]ru
www.akamaicdn[.]ru
www.akamainet066[.]info
www.akamainet023[.]info
www.akamainet021[.]info
akamainet023[.]info
akamainet022[.]info
akamainet021[.]info
www.akamainet022[.]info
akamainet066[.]info
akamainet024[.]info
www.cdnakamai[.]ru
NotifyMail[.]ru
www.notifymail[.]ru
mailukr[.]neto
tech-adobe.dyndns[.]negocio
www.mailukr[.]neto
185.158.153[.]222
94.158.47[.]228
195.78.105[.]23
94.158.46[.]251
188.227.75[.]189
212.116.121[.]46
185.125.46[.]24
5.200.53[.]181
Eliminación de virus de animales dañinos
Las complejas tácticas de infección que se asocian con el virus alimañas muestra que sólo se pueden eliminar con una solución anti-spyware de la calidad. Una vez que las infecciones se han llevado a cabo un análisis del sistema muy completo deduce que da el motor de malware información detallada sobre cómo se configura la máquina comprometida. Esto permite que el troyano que afecta a todos los componentes principales del sistema operativo. Como tal, los operadores de hackers pueden sellar los archivos confidenciales, espía en las víctimas y utilizar los datos recolectados para el chantaje y fraude propósitos.
Recomendamos encarecidamente a todas las víctimas de ejecutar un sistema de exploración libre con el fin de asegurarse de que son seguros usando una aplicación de seguridad de confianza. La solución también es capaz de proteger los ordenadores de cualquier ataque entrantes.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: