Le logiciel malveillant est L0rdix un outil de piratage nouvellement détecté qui est offert sur les marchés souterrains de pirates qui permet aux acheteurs potentiels de l'utiliser dans des campagnes d'attaque contre les ordinateurs Windows. Il permet aux pirates et aux groupes d'utiliser de diverses manières car il comporte de nombreux modules. À l'heure actuelle, il est offert à l'un des endroits environ 60 Dollars américains.
Tout le monde peut devenir une cible du Malware L0rdix
Informations sur L0rdix a été publié par Ben Hunter dans un Rapport de sécurité donner plus de détails au sujet de son comportement. Le logiciel malveillant est conçu pour infecter les ordinateurs Windows et est actuellement offert aux acheteurs potentiels sur plusieurs marchés souterrains. Ce qui le distingue des autres logiciels malveillants similaires est qu'il combine diverses informations et les données des capacités de vol ainsi que des modules d'extraction de crypto-monnaie.
Il combine en soi une approche d'infection botnet hybride - machines peuvent tenter de compromis infiltrer d'autres machines de manière automatisée. Dès que l'infection que la menace est proférée peut lancer une Mécanisme anti-détection. Cette action vérifiera s'il y a une machine virtuelle active, environnements ou d'autres outils d'analyse des logiciels malveillants. Leurs moteurs seront désactivés qui contre pardonnerai analyse ou de détection. versions mises à jour peuvent utiliser cette approche pour contourner les logiciels de sécurité tels que les produits anti-virus, pare-feu et etc..
Une fois que le by-pass a été complète le moteur communiquera avec un serveur pré-configuré et télécharger les dernières mises à jour et les fichiers de configuration. A ce stade, les opérateurs de pirates auront la possibilité de déployer tous les modules disponibles en fonction de leur propre stratégie. Toutes les machines infectées seront récoltées pour un groupe de données qui est utilisée pour générer un ID unique de la machine. Il est également envoyé au serveur principal et. Les informations sont envoyées à côté captures d'écran de l'utilisation de l'ordinateur. Les échantillons recueillis dans la campagne détectée ont été trouvés pour pirater les données suivantes:
- Composants de matériel d'information - Ce sous-ensemble d'informations récolte d'informations sur les lecteurs de disque dur, processeur et graphiques noms de modèle de carte et les spécifications et la mémoire installée. information sur le rendement est également inclus, cela se fait en exécutant un test de performance et de vérifier les résultats.
- Informations sur le système d'exploitation - Les données collectées sont en relation avec les privilèges de l'utilisateur, conditions du système d'exploitation et les privilèges de l'utilisateur.
- applications de données - Les données des applications et des services installés tiers est récupéré. Cela inclut la présence de produits anti-virus.
- Les données du navigateur Web - Si l'un des navigateurs Web pris en charge est trouvé, il va tuer leurs processus et extraire des données sensibles, y compris les cookies enregistrés, les préférences et les comptes enregistrés.
Il est spéculé que les mesures de performance sont détournés afin d'optimiser la livraison d'un mineur crypto-monnaie qui est l'un des effets courants de l'infection. Non seulement une infection de mineur est initié, mais tous les fichiers de portefeuille identifiés seront ainsi détournés.
L0rdix Malware Capacités post-infection
L'analyse montre que, une fois l'infection a pu pénétrer dans la sécurité d'un seul ordinateur, il procédera à infecter automatiquement d'autres hôtes par infecter des dispositifs de stockage amovibles. versions mises à jour peuvent utiliser une approche encore plus dangereuse en interaction avec le gestionnaire de réseau Windows et donnant des actions accessibles. Ce qui suit est un l'installation persistante ce qui rend très difficile pour les infections actives à identifier et éliminées à l'aide de méthodes manuelles. Le moteur recherche automatiquement les fichiers de configuration locaux et les modifier de manière à se lancer automatiquement lorsque l'ordinateur est sous tension.
Une recrutement botnet a lieu après le déploiement du virus qui est particulièrement préoccupante car elle permet aux pirates de semi-automatiquement créer un grand réseau de dispositifs infectés. De telles constructions sont particulièrement utiles pour mener des attaques de DDoS complexes qui peuvent prendre des sociétés entières.
En raison du fait que les échantillons de logiciels malveillants identifiés L0rdix sont associés à une campagne d'attaque, nous présumons que les attaques futures vont utiliser encore plus des modules et des scénarios d'attaque.