Un groupe de hacking inconnu qui est soupçonné d'origine de la Chine a été trouvé pour lancer une attaque massive en utilisant globalement une version du service cheval de troie Narrateur avec les logiciels malveillants PCShare. Ceci est particulièrement dangereux que la campagne en cours vise les entreprises technologiques et les réseaux d'entreprise. Il remplace le service légitime de Windows qui fait partie de la suite d'accessibilité.
Infected Narrateur Service de Windows avec le cheval de Troie PCShare Lancé À l'échelle mondiale
Un rapport de sécurité indique qu'une inconnue de piratage collective, vraisemblablement de la Chine, lance un malware dangereux appelé PCShare cheval de Troie qui est mis à infecter les réseaux dans le monde entier. Selon les chercheurs qui ont découvert la menace des logiciels malveillants fait usage de la tactique inhabituelle de remplacer le service légitime du système d'exploitation Windows appelé Narrateur qui est l'application de lecture d'écran principal.
Le mécanisme exact d'intrusion du cheval de Troie PCShare est d'infecter les hôtes destinés, puis remplacer le service Narrateur légitime avec une version malveillante. La répartition exacte du cheval de Troie se fait principalement par campagnes de phishing e-mail - les victimes désignées recevront des messages qui sont conçus pour imiter les réguliers qui leur sont envoyés par des entreprises ou des services bien connus. L'alternative est de simuler leurs pages d'accueil, landing pages ou invites de connexion et les héberger sur des noms de domaine similaires sondage. Ils peuvent également inclure des certificats de sécurité qui peuvent être truquées, volé ou auto-signé pour faire les visiteurs croient qu'ils visitent un site sûr.
Fait intéressant, le chargeur PCShare cheval de Troie est délivré par un DLL légitime à charge latérale NVIDIA qui fait partie du pilote de la carte graphique pour le système d'exploitation Windows. Son but est de décrypter un démarrage de la charge utile malveillante qui est la deuxième étape du cheval de Troie. Comme cela se fait au moyen d'un injection de mémoire - le fichier binaire réel est jamais tombé sur le disque dur de la victime. Cela se fait en parallèle avec un technique anti-sandbox qui est conçu pour contourner ou entièrement éliminer les produits de sécurité installés et services. Cela se fait principalement contre des applications telles que les programmes anti-virus, environnements de bac à sable, pare-feu, Les systèmes de détection d'intrusion et etc.
Capacités PCShare Trojan
Dès que le cheval de Troie est lancé sur le système de la victime, il conduira à de nombreux modules logiciels malveillants qui doivent être exécutés. La plupart d'entre eux sont basés sur les logiciels malveillants open source qui ont été modifiés dans la campagne d'attaque. Le principal cheval de Troie établira une connexion sécurisée à un serveur contrôlé pirate informatique permettant ainsi aux criminels de prendre le contrôle des machines impactées. Cela leur permet également de voler des données et des informations précieuses, ainsi que d'autres menaces installer aussi bien.
Lorsque le service Narrateur légitime est remplacé par le méchant, il gagnera des privilèges d'administration lui permettant d'accéder à toutes les sections importantes du système. Le PCShare cheval de Troie et les modules malveillants déployés comprennent l'installation d'un keylogger qui surveillera activement l'entrée du clavier de l'utilisateur pour les informations d'identification potentiels tels que les mots de passe. Si ces chaînes sont détectés, ils seront transmis aux criminels.