Dimnie est le nom d'un nouveau signalé récemment la famille des logiciels malveillants qui vole sous le radar depuis plus de trois ans, des chercheurs de Palo Alto Networks dire.
Dimnie Malware Présentation technique
Le logiciel malveillant attaquait les développeurs open-source par e-mails de phishing en Janvier 2017, et comment il a été découvert. Les attaques ont pris la distribution d'un fichier .doc contenant le code macro intégrés pour exécuter une commande PowerShell. Le but final est le téléchargement et l'exécution d'un fichier malveillant.
en relation: Latentbot - la porte dérobée de pointe avec des capacités Stealthy
Les chercheurs ont découvert que les premiers échantillons de logiciels malveillants Date Dimnie retour au début 2014. La pièce n'a pas été détectée pendant si longtemps à cause de la furtive C&méthodes C. À l'époque, Dimnie ciblé les russophones qui ont également aidé à voler sous le radar pour plus de trois ans.
Lors de l'inspection initiale, tout semble suivre la même formule que de nombreuses campagnes de malwares « traditionnels »: leurre e-mail, pièce jointe malveillante, macro, PowerShell downloader, et enfin une charge utile binaire. Examen des communications de la charge utile nous a amenés à augmenter nos sourcils.
La dernière campagne a global et pourrait télécharger plus de logiciels malveillants dans le but de voler des informations.
Essentiellement, Dimnie sert de downloader et a une conception modulaire contenant diverses fonctionnalités vol d'information. Chaque module est injecté dans la mémoire de base processus Windows, ce qui rend l'analyse encore plus compliquée, chercheurs expliquent.
Lors de l'examen de la communication Dimnie avec son C&Serveur C, les chercheurs ont découvert qu'il emploie les demandes de proxy HTTP au service Google PageRank, un service qui n'est plus publique.
Dimnie utilise cette fonctionnalité pour créer une demande de proxy HTTP prétendument légitime à un service Google. Cependant, le service PageRank Google (toolbarqueries.google.com) a été progressivement lentement depuis 2013 et à partir de 2016 est pas ouvert plus au public. Donc, l'URI absolue dans la requête HTTP est un service inexistant et le serveur n'agit comme proxy. Cette demande semble conforme à la RFC est simplement camouflage.
en relation: DiamondFox Botnet vole de l'information financière
En outre, le trafic HTTP a révélé que le logiciel malveillant utilise une clé AES pour décrypter des charges utiles précédemment cryptées via AES 256 en mode ECB.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: