Un nouveau morceau de, ce qui semble être, les logiciels malveillants très ciblé a été découvert par des chercheurs de AlienVault. La nouvelle souche logiciels malveillants, surnommé GzipDe et très probablement utilisé dans les campagnes cyber-espionnage, utilise un article sur la prochaine Organisation de coopération de Shanghai Sommet.
En savoir plus sur le GzipDe Malware Opération
Il y a environ une semaine, les chercheurs ont détecté un nouveau document malveillant qui ciblent ce domaine. Apparemment, le document a inclus un morceau de texte tiré du rapport en tant que leurre.
AlienVault a découvert un document Word piégé sur VirusTotal qui a été publié par un utilisateur d'Afghanistan. Voilà comment ils ont déterré les logiciels malveillants.
Le document piégé mentionné ci-dessus (.fichier doc) est la première étape d'une infection à étages multiples dans lequel plusieurs serveurs et les artefacts sont déployés. La dernière étape de l'opération malveillant semble être l'installation d'une porte dérobée Metasploit. Cependant, ce n'est pas aussi intéressant que le téléchargeur .NET, qui utilise un procédé de cryptage personnalisé pour masquer la mémoire de processus et échapper à la détection antivirus.
Le document malveillant dupé utilisateurs en permettant des macros, qui fois cette option activée exécuté un script Visual Basic. Ensuite, le script a couru un code PowerShell, qui a téléchargé la suite d'un exécutable PE32. Le processus a pris fin avec le logiciel malveillant réel - GZipDe - les chercheurs signalé.
GZipDe semble être codé en .NET, et il est conçu pour utiliser “un procédé de cryptage personnalisé pour masquer la mémoire de processus et échapper à la détection antivirus.” Étant donné que le but initial de GzipDe est d'agir en tant que téléchargeur, cela signifie que le logiciel malveillant télécharge un morceau plus dangereux à partir d'un serveur distant. Cependant, au cours de l'enquête menée par les chercheurs, le serveur distant était sur qui finissent généralement l'analyse. Cependant, il est apparu Shodan, le moteur de recherche IdO, indexé le serveur et même enregistré une charge utile au service qu'il Metasploit.
Le serveur, 175.194.42[.]8, offre une charge utile Metasploit. Il contient shellcode à la détection du système de dérivation (car il semble avoir une tête DOS valide) et une charge utile Meterpreter – une porte dérobée capable. Par exemple, il peut recueillir des informations à partir du système et contacter le serveur de commande et de contrôle pour recevoir d'autres commandes.
En outre, le shellcode charge la DLL entière dans la mémoire, permettant ainsi de fonctionner alors qu'aucune information est écrite sur le disque. Cette opération est connue sous le nom d'injection réfléchissant DLL. De ce point, l'attaquant peut transmettre toute autre charge utile en vue d'acquérir des privilèges élevés et se déplacer dans le réseau local, les chercheurs ont conclu.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: