Le silence est le nom d'un nouveau cheval de Troie (et le groupe derrière le piratage), découvert en Septembre par Kaspersky Lab chercheurs. L'attaque ciblée est fixé contre les institutions financières, et à ce point ses victimes sont principalement des banques russes, ainsi que les organisations en Malaisie et en Arménie.
Menace Résumé
| Nom | silence cheval de Troie |
| Type | Chevaux de Troie bancaires |
| brève description | Le cheval de Troie gagne un accès permanent aux réseaux bancaires internes, enregistrements vidéo des activités quotidiennes des machines des employés de la banque. |
| Symptômes | Le silence de Troie principale caractéristique est sa capacité à prendre des captures d'écran répétées, pris à petits intervalles, du bureau de la victime. Il a été construit avec l'idée de rester non détectée sur les systèmes ciblés. |
| Méthode de distribution | e-mails-harponnage |
| Detection Tool |
Voir si votre système a été affecté par des logiciels malveillants
Télécharger
Malware Removal Tool
|
Expérience utilisateur | Rejoignez notre Forum pour discuter de Silence cheval de Troie. |
| Outil de récupération de données | Windows Data Recovery Stellar Phoenix Avis! Ce produit numérise vos secteurs d'entraînement pour récupérer des fichiers perdus et il ne peut pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d'entre eux, en fonction de la situation et si oui ou non vous avez reformaté votre lecteur. |
Dans ces attaques, Les auteurs de silence utilisaient une technique de piratage informatique très efficace - obtenir un accès permanent aux réseaux bancaires internes, enregistrements vidéo des activités quotidiennes des machines des employés de la banque, acquérant ainsi des connaissances sur la façon dont le logiciel est utilisé. Cette connaissance a été appliquée plus tard possible de voler autant d'argent.
Il est à noter que les chercheurs ont déjà observé cette technique dans Carbanak ciblées opérations. Comme expliqué dans l'original rapport, le vecteur d'infection est un e-mail-phishing lance avec une pièce jointe malveillante. Une étape remarquable de l'attaque Le silence est que les cybercriminels avaient déjà compromis l'infrastructure bancaire afin d'envoyer leurs e-mails-harponnage des adresses des employés de banque réelle afin qu'ils regardent aussi soupçonneux que possible aux victimes futures.
Pièce jointe malicieuse .chm Une partie de la campagne de Silence cheval de Troie
La pièce jointe détectée dans ces dernières campagnes a été identifiée comme Aide de Microsoft Compiled HTML fichier. Ceci est un format d'aide en ligne propriétaire de Microsoft qui se compose d'une collection de pages HTML, l'indexation et d'autres outils de navigation, chercheurs expliquent. Ces fichiers sont compressés et déployés dans un format binaire avec le CHM (HTML compilé) extension. Ils sont très interactifs et peuvent exécuter une série de technologies telles que JavaScript. Les fichiers peuvent rediriger une victime vers une URL externe après l'ouverture simplement le CHM.
Une fois que la pièce jointe est ouverte par la victime, le fichier de contenu .htm intégré (« Start.htm ») est exécutée. Ce fichier contient JavaScript, et son but est de télécharger et d'exécuter une autre étape à partir d'une URL hardcoded.
Peu dit, les e-mails-spear phishing envoyés aux victimes, ils contiennent un CHM (HTML compilé) pièce jointe. Après le téléchargement et l'ouverture de la pièce jointe, le fichier CHM exécuter des commandes JavaScript ensemble pour télécharger et installer une charge utile malveillante appelée un compte-gouttes. Dans le cas de l'attaque de Troie Silence, cette charge a été identifiée comme un exécutable Win32 déployé pour recueillir des données sur les hôtes infectés. Les données collectées sont généralement envoyées au C des attaquants&serveurs de C.
À un stade ultérieur, quand une machine cible est définie comme valeur pour le fonctionnement, les attaquants envoient une charge utile de deuxième étape - le silence de Troie lui-même.
Cheval de Troie Silence - Spécifications techniques
Le silence de Troie principale caractéristique est sa capacité à prendre des captures d'écran répétées, pris à petits intervalles, du bureau de la victime. Les captures d'écran sont ensuite téléchargées sur le C&serveur C où un flux pseudo-vidéo en temps réel est créé.
Pourquoi les auteurs du cheval de Troie utilisent des captures d'écran au lieu d'une vidéo? Ils peuvent avoir choisi cette façon d'enregistrer les activités des employés, car il utilise moins de ressources informatiques et aide le cheval de Troie restent non détectés. Cela peut être la raison pour laquelle l'opération est appelée Silence.
Une fois que toutes les données sont collectées, les cybercriminels peuvent passer en revue les captures d'écran pour localiser les données précieuses telles que la recherche URL des systèmes de gestion de l'argent internes, à poursuivre leurs opérations.
La dernière étape de l'opération est construit autour de l'exploitation des outils d'administration de Windows légitimes pour masquer le cheval de Troie dans sa phase finale. Cette technique a été utilisée précédemment par Carbanak.
La meilleure façon de protéger contre les attaques ciblées sur les organisations financières est de déployer des capacités de détection avancées utilisées dans une solution qui permet de détecter tous les types d'anomalies et aussi examiner les fichiers suspects à un niveau plus profond, les chercheurs disent.
scanner SpyHunter ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: