Retirer tonedeaf Backdoor Malware
Suppression des menaces

Retirer tonedeaf Backdoor Malware


Une nouvelle attaque malveillante a été détectée, la distribution d'une forme de malware très dangereux que les chercheurs surnommés tonedeaf. La logiciels malveillants tonedeaf est en fait une porte dérobée sophistiqué qui communique avec un serveur de commandes et de contrôle spécifique par l'intermédiaire de requêtes HTTP GET et POST.

La porte dérobée tonedeaf est capable de collecter les informations du système, le téléchargement et le téléchargement de fichiers, et l'exécution de commandes de shell arbitraires, les chercheurs FireEye ont expliqué dans leur rapport.

La campagne logiciels malveillants tonedeaf est actionné par un groupe connu sous le nom APT34, un groupe APT lié l'Iran qui a été actif depuis au moins 2014. Le groupe a été connu pour cibler les organisations dans le secteur financier, gouvernement, énergie, télécommunication, et des produits chimiques, principalement aux États-Unis et les territoires du Moyen-Orient.

Selon le rapport, APT34 compte beaucoup sur leurs capacités de développement de PowerShell, mais essaie aussi d'inclure golang, un statiquement typé, langage de programmation compilé conçu à Google.

Menace Résumé

Nomtonedeaf Backdoor
TypePorte Arrière, Spyware
brève descriptionLa porte dérobée tonedeaf est capable de collecter les informations du système, le téléchargement et le téléchargement de fichiers, et l'exécution de commandes de shell arbitraires.
Méthode de distributionUne campagne de phishing diffusion sur LinkedIn.
Detection Tool Voir si votre système a été affecté par tonedeaf Backdoor

Télécharger

Malware Removal Tool

Expérience utilisateurRejoignez notre Forum pour discuter tonedeaf Backdoor.

Tonedeaf Backdoor - Techniques de distribution

Le logiciel malveillant a été propagé par une campagne de phishing menée par APT34. Les messages de phishing sont faites pour ressembler ils ont été envoyés par un membre de l'Université de Cambridge, et ont été répartis sur LinkedIn pour fournir la charge utile malveillante. Plus précisement, dans cette campagne, faux profils ont en contact avec les victimes ciblées et leur a demandé d'ouvrir un fichier Excel malveillant nommé ERFT-Details.xls qui a joué le rôle d'un compte-gouttes.

Les messages envoyés sur LinkedIn avaient l'air des messages de la «Le personnel de recherche à l'Université de Cambridge» Avec leur sujet impliquant des CV pour les possibilités d'emploi potentiel. En fait, cette technique est unique et a été observée dans plusieurs campagnes. Par exemple, un courrier d'hameçonnage de 2017 a été d'essayer de tromper les utilisateurs du réseau professionnel de télécharger leur CV. Scammers envoyaient des courriels au sujet présumés « offres d'emploi pour les utilisateurs actifs LinkedIn ». https://sensorstechforum.com/job-openings-active-linkedin-users-phishing-scam-detected/

en relation: Perspectives d'emploi pour les utilisateurs actifs LinkedIn Phishing Scam Détecté

Tonedeaf Backdoor - Capacités Malicious

Tonedeaf est une porte dérobée qui communique avec un serveur de commandes et de contrôle par l'intermédiaire de requêtes HTTP GET et POST. Le logiciel malveillant est capable de collecter les informations du système, le téléchargement et le téléchargement de fichiers, et l'exécution de commandes de shell arbitraires.

Lorsqu'il est exécuté, la porte dérobée tonedeaf écrit des données cryptées à deux fichiers temporaires - temp.txt et temp2.txt - dans le même répertoire de son exécution.

FireEye a identifié offlineearthquake[.]avec en tant que domaine de commande et contrôle du potentiel de l'opération.
Les demandes dans le domaine offlineearthquake[.]avec pourrait être réalisée sous différentes formes, conformément à l'étape de l'installation et le but du malware. En outre, Tonedeaf peut récupérer le système et les noms d'utilisateur actuels, qui sont utilisés pour créer trois caractères sys_id, le rapport note. Cette valeur est utilisée dans les demandes ultérieures, très probablement fait pour suivre l'activité cible infectée.

Il est à noter que la porte dérobée tonedeaf n'est pas le seul logiciel malveillant distribué dans cette campagne, comme FireEye détecté « deux nouvelles familles de logiciels malveillants supplémentaires hébergés dans ce domaine, ValueVault et Longwatch ». Les chercheurs ont également identifié une variante de Pickpocket, un outil de vol des titres de compétence-navigateur qui a été hébergé sur la commande et de contrôle du serveur.

Qu'est-ce que ValueVault? Une version compilée golang de l'outil de vol d'informations d'identification de Windows Vault Mot de passe Dumper navigateur développé par Massimiliano Montoro, le développeur de Cain & Abel. L'outil a la même fonctionnalité que l'outil original, et permet à l'acteur de menace pour extraire et afficher les informations d'identification stockées dans le coffre-fort de Windows. L'outil utilise également Windows PowerShell pour extraire l'historique du navigateur pour correspondre les mots de passe du navigateur avec les sites Web visités.

Qu'est-ce que Longwatch? LongWatch est un keylogger qui transmet les frappes à un fichier log.txt dans le dossier Temp de Windows.

Qu'est-ce que Pickpocket? Il est un outil de vol d'informations d'identification que les décharges des informations de connexion du site Web de la victime de plusieurs navigateurs (Chrome, Firefox, et IE) dans un fichier.

La porte dérobée tonedeaf vise actuellement des organisations dans les secteurs suivants – l'énergie et les services publics, gouvernement, et de l'huile et de gaz. Cependant, la porte arrière peut également être utilisé dans des campagnes à grande échelle, afin de protéger le système d'exploitation contre de telles menaces est fortement conseillé.

Télécharger

Malware Removal Tool

avatar

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum pour 4 ans. Bénéficie d' « M.. Robot » et les craintes de 1984 '. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...