Accueil > Nouvelles Cyber > Os latent – la Backdoor avancée avec des capacités Stealthy
CYBER NOUVELLES

Latentbot – la Backdoor avancée avec des capacités Stealthy

malveillants-menace-sensorstechforumLes experts en sécurité vont certainement tomber sur de plus en plus backdoors et botnets, que nous assistons à un taux d'infection accru de ransomware et APTs (menaces persistantes avancées).

Curieusement, nouvellement backdoors et botnets détectés peuvent ne pas être du tout nouveau. Pourquoi? Ces menaces peuvent passer inaperçues pendant des mois, voire des années. Si une menace est découverte dans 2015, cela ne signifie pas nécessairement que la menace a été créé récemment.

Améliorez votre Cyber ​​Education Sécurité:
Backdoors APT contrôlée par un groupe solide
Nemesis Bootkit Récoltes Données financières
Pourquoi devriez-vous craignez Ponmocop Botnet

Une des dernières découvertes backdoors a prouvé être très furtif. Latentbot Surnommé, la menace persistante a été autour depuis au moins 2013. Des chercheurs de FireEye a récemment révélé que Latentbot a eu des répercussions sur les victimes aux États-Unis, Royaume-Uni, Canada, Brésil, Pérou, Pologne, Singapour, Corée du Sud, Émirats arabes unis.
Ses victimes sont principalement dans les secteurs financiers et d'assurance. Cependant, d'autres secteurs ont été compromis et.

Latentbot capacités Backdoor

Les techniques de distribution employées par le compte-gouttes logiciels malveillants peuvent ne pas être novateur, mais la charge utile de l'attaque (Latentbot) a certainement attiré l'attention des chercheurs. Non seulement il mettre en œuvre plusieurs couches de l'obscurcissement, mais il a également un mécanisme de exfiltration unique,.

Ce sont là les possibilités de Latentbot, résumée par l'équipe de recherche FireEye:

1. Plusieurs couches de obfuscation
2. chaînes décryptées dans la mémoire sont retirées après avoir été utilisé
3. Hiding des applications dans un autre bureau
4. MBR capacité d'essuyage
5. similitudes Ransomlock comme la possibilité de verrouiller le bureau
6. Invisible Connection VNC
7. Conception modulaire, permettant des mises à jour faciles sur les machines victimes
8. Furtif: Callback Traffic, Apis, Les clés de registre et d'autres indicateurs sont décryptés dynamiquement
9. Gouttes Poney malware en tant que module d'agir comme infostealer

Payload Latentbot, But des attaques

En plus d'être furtif, Latentbot est conçu pour conserver son code malveillant dans la mémoire de la machine aussi longtemps que cela est nécessaire. Puis, le code sera supprimé. En tant que chercheurs soulignent, la plupart des données codées se trouve soit dans les ressources du programme ou dans le registre. Aussi, une spécificité, fait sur mesure algorithme de chiffrement est partagé entre les différentes composantes. La commande et de contrôle des communications sont également cryptées. Pour cette raison, les binaires de la famille de Latentbot sont détectés avec un nom générique, e.g. Trojan.Generic.

Voici une liste de certains de ses détections par les fournisseurs AV:

  • Trojan.Win32.Generic!BT
  • Trojan.GenericKD.2778570
  • Trojan.Generic.D2A65CA
  • Trojan.Generic.D2A65CA
  • UnclassifiedMalware
  • Trojan.MSIL.Crypt
  • Backdoor / Androm.tzz

Le processus d'infection de Latentbot

L'attaque est déclenchée par l'ouverture d'un e-mail de spam contenant des pièces jointes malveillantes. Une fois qu'une telle fixation est exécutée, l'ordinateur sera infecté par un téléchargeur malware qui va baisser le LuminosityLink RAT (Remote Access Trojan). Une fois que le RAT détermine si la machine particulière répond aux exigences (e.g. si le PC est sous Windows Vista, elle ne sera pas attaqué), la charge utile de l'opération a.k.a. Latentbot est tombé. Dans son ensemble, le processus de Latentbot d'installation est sophistiqué, passer par six étapes différentes. Le but principal est de cacher ses activités et bypass ingénierie inverse.

N'effectuer Latentbot attaques ciblées?
Selon les chercheurs, la porte dérobée furtive ne vise pas, du moins pas dans les industries, il a affecté. Cependant, elle est sélective en ce qui concerne les types de système de Windows pour attaquer. Latentbot ne fonctionnera pas sur Windows Vista ou Server 2008, et il utilise des sites Web compromis pour son commandement et le contrôle des infrastructures. Ainsi, le processus d'infection devient plus facile, et la détection plus difficile.

Latentbot pour une raison

Latentbot est en effet latent - il a été conçu pour des activités malveillantes silencieuses. Les plusieurs couches d'obscurcissement, et le fait qu'il peut supprimer les données de la mémoire de l'ordinateur une fois qu'il est nécessaire rendent pas très dangereux et furtive. En outre, Latentbot peut également agir en tant que ransomware en bloquant le bureau de la victime et laisser tomber la poney malware sur le MBR de la victime (Master Boot Record).

Pour Latentbot encore plus peur, il a été conçu par l'intermédiaire d'une infrastructure modulaire rendant capable de se mettre à jour avec de nouvelles fonctionnalités lorsque ce sont nécessaires.

En conclusion, les chercheurs disent que FireEye Latentbot est «assez bruyante» pour être détectée dans la mémoire à l'aide d'une solution avancée.

Télécharger

Malware Removal Tool


Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord