Le InnfiRAT Malware est une menace nouvellement découverte, qui comprend un système sophistiqué module de vol de crypto-monnaie. Il est écrit en utilisant le framework .NET et cible les machines Windows en particulier.
Les porteurs attaqués par crypto-monnaie Le Malware InnfiRAT
Les chercheurs en sécurité ont découvert une nouvelle campagne d'attaque portant une menace appelée logiciels malveillants InnfiRAT. Il est distribué par un collectif de piratage informatique inconnue, compte tenu du fait que les infiltrations sont classés comme avancés, nous prévoyons qu'ils sont très expérimentés. Le logiciel malveillant peut se propager en utilisant de nombreuses méthodes telles que les suivantes:
- Stratégies de phishing - Les criminels peuvent envoyer des messages électroniques et d'orchestrer des sites Web qui se font passer pour les services Web et les entreprises. Chaque fois qu'ils sont interagi avec eux les logiciels malveillants respectifs seront déployés.
- Les transporteurs Payload - Le code d'installation du virus peut être placé dans des installateurs d'applications ou documents (sous forme de scripts). Un autre exemple est la création de plugins pour les navigateurs web les plus populaires.
les analystes ont identifié que le code malveillant dans l'un des échantillons capturés se trouve dans une faux fichier de configuration du pilote NVIDIA. Lors de l'exécution de la séquence correspondante sera exécutée. Il commence par une vérification du fichier qui cherche si oui ou non l'application des programmes malveillants est exécuté à partir d'un emplacement predesignated. Il sera utilisé pour infiltrer le système et de les déployer dans des endroits du système pour le rendre plus difficile à détecter. Une fois le fichier a été placé dans son emplacement respectif, il décode le moteur principal et démarrer. Ce qui est particulièrement intéressant à ce sujet est qu'il est crypté.
Au début du déploiement de virus l'une des premières étapes qu'il fait est le lancement d'un by-pass de sécurité. Il va commencer à analyser le contenu disque dur et la mémoire et savoir s'il y a des applications de sécurité de fonctionnement ou des services qui peuvent bloquer l'infection par le virus approprié: des hôtes de machines virtuelles, environnements de bac à sable, les programmes anti-virus, pare-feu et les systèmes de détection d'intrusion.
Si aucune de ces se trouvent sur un système donné l'infection continue. L'étape suivante du processus d'infection est le la collecte d'informations - il extraira une longue liste d'informations sur la machine et les données de l'utilisateur. La liste des informations sur le matériel qui est acquis est le suivant:
fabricant de l'appareil, légende, nom, Les informations sur l'identité du processeur, nombres de coeurs, L2 taille du cache, L3 taille du cache et désignation du support.
En outre, les données sur l'état du réseau et des informations de géolocalisation est également pris en otage: l'adresse IP du système hôte, ainsi que la ville, Région, pays, code postal. Si la machine fait partie d'une organisation ou une entreprise qui sera également affiché. La prochaine étape sera de commencer une Module cheval de Troie qui établira une connexion sécurisée à un serveur contrôlé pirate informatique et permettent aux contrôleurs criminels de pirater leurs machines.
InnfiRAT Malware opérations Trojan
Les opérations de Troie incluent la possibilité d'injecter dans les navigateurs web les plus populaires et pirater leurs opérations, ainsi que les tuer:
- Google Chrome
- Navigateur générique
- Mozilla Firefox
- Opéra
- ami
- comète
- Torche
- Orbitum
Les opérations de Troie permettent aux attaquants distants afin d'espionner les victimes en temps réel et de tuer les fenêtres du navigateur. Le vol de cookies de votre navigateur et l'histoire permet aux criminels de vérifier si oui ou non les utilisateurs d'ordinateurs utilisent crypto-monnaie de quelque manière que: mémoriser, transfert et d'autres activités.
Il peut également vérifier la mémoire pour tous les processus en cours d'exécution et de créer de nouveaux portefeuilles dans les applications respectives. Les applications vont créer des portefeuilles en eux et les définir par défaut. Cela signifie que les opérations qui sont effectuées par les utilisateurs les affectent généralement. Toutes les interactions utilisateur peut également être redirigé vers ce portefeuille. En conséquence, les victimes ne seront pas conscients du fait que les transferts d'argent qui leur sont destinés seront remis aux pirates.