Dimnie è il nome di una nuova famiglia di malware recentemente riportato che è stato volare sotto il radar per più di tre anni, i ricercatori a Palo Alto Networks dire.
Dimnie Malware Panoramica tecnica
Il malware è stato attaccando sviluppatori open-source tramite email di phishing nel mese di gennaio 2017, ed è così che si è scoperto. Gli attacchi hanno riguardato la distribuzione di un file doc contenente incorporati codice di macro per eseguire un comando di PowerShell. L'obiettivo finale era il download e l'esecuzione di un file dannoso.
Correlata: Latentbot - la Backdoor avanzato con funzionalità Stealthy
I ricercatori hanno trovato che i primi campioni di Dimnie data di malware dei primi del ' 2014. Il pezzo è rimasto inosservato per così tanto tempo a causa della furtiva C&metodi C. Allora, Dimnie mirato russofoni che ha anche contribuito a volare sotto il radar per più di tre anni.
Su ispezione iniziale, tutto sembra seguire la stessa formula il maggior numero di “tradizionali” campagne di malware: e-mail esca, allegato malevolo, macro, PowerShell downloader, ed infine un payload binario. Esaminando le comunicazioni del carico utile ci ha fatto alzare le sopracciglia.
La campagna più recente è andato globale e potrebbe scaricare più malware con lo scopo di rubare informazioni.
Essenzialmente, Dimnie serve come un downloader e ha un design modulare che contiene informazioni rubare varie funzionalità. Ogni modulo viene iniettato nella memoria dei processi core di Windows, che rende ancora più complicata analisi, ricercatori spiegano.
Mentre l'esame di comunicazione di Dimnie con il suo C&Server di C, i ricercatori hanno scoperto che impiega le richieste proxy HTTP per il servizio di Google PageRank, un servizio che non è più pubblico è.
Dimnie utilizza questa funzione per creare una richiesta di proxy HTTP presumibilmente legittimo ad un servizio di Google. Tuttavia, il servizio di PageRank di Google (toolbarqueries.google.com) è stato lentamente gradualmente eliminata dal 2013 ed a partire da 2016 non è più aperta al pubblico. Pertanto, l'URI assoluto nella richiesta HTTP è per un servizio inesistente e il server non agisce come un proxy. Questa richiesta apparentemente RFC compliant è semplicemente camuffamento.
Correlata: DiamondFox Botnet ruba le informazioni finanziarie
In aggiunta, il traffico HTTP ha rivelato che il malware utilizza una chiave AES per decifrare carichi precedentemente crittografati tramite AES 256 in modalità BCE.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: