Casa > Cyber ​​Notizie > Malware EngineBox utilizzato negli attacchi alle istituzioni finanziarie
CYBER NEWS

EngineBox malware utilizzato negli attacchi alle istituzioni finanziarie

I ricercatori di sicurezza hanno scoperto che una serie di attacchi in corso utilizzando il malware EngineBox stanno prendendo di mira le istituzioni finanziarie in Brasile. Gli hacker utilizzano i messaggi di spam dannosi per ingannare le imprese in infettare i loro ospiti con la minaccia pericolosa.

EngineBox immagine di malware

Story correlati: Reti interne interessate da auto-moltiplicazione Emotet Trojan

Come EngineBox malware infetta le sue vittime

Il malware Enginebox infetta principalmente tramite messaggi e-mail che utilizzano trucchi di social engineering. Il cosidetto “phishing e-mail” schema prevede il coordinamento dei messaggi basate su modelli che vengono inviati ai dipendenti delle istituzioni finanziarie. Se essi interagiscono con tutti i link incorporati o allegati uno script viene attivato, che l'istanza download virus al computer locale.

Gli analisti hanno scoperto che, nel caso di Enginebox il malware questo viene fatto utilizzando uno script VBS che scarica un altro script da un sito di hacker controllato. Questo lancia un set predefinito di comandi che portano a l'infezione reale. Questo lungo percorso infezione diversi passaggi è stato progettato per confondere le soluzioni anti-virus nel caso in cui cominciano a tracciare gli script. Usando questo attacco rimbalzo tipo taluni motori di scansione può essere bypassato.

Gli hacker tentano di aumentare i privilegi del file scaricato utilizzando un exploit noto come MS16-032 che funziona con le versioni di praticamente tutti i moderni del sistema operativo Microsoft Windows. I criminali utilizzano questo vecchio problema di sicurezza che utilizza un errore nel modo in cui il servizio Accesso secondario gestisce le richieste.

Funzionalità EngineBox Malware

Gli analisti di sicurezza informatica che ha scoperto il malware EngineBox sono stati in grado di fare un'indagine approfondita flusso di infezione della minaccia. E 'stato trovato che è incapsulato in diversi strati cifrati. Ciò significa che la maggior parte delle soluzioni anti-virus non può essere in grado di identificare agenti infettivi o attivi. Una volta che le vittime scaricare il file binario al proprio computer viene avviato il motore antivirus.

Al momento l'hacker o collettiva criminale dietro di esso si rivolge più grandi istituzioni finanziarie brasiliane che comprende sia le banche private e pubbliche. Non sono disponibili informazioni sull'identità dello sviluppatore o hacker che utilizzano lo. E 'possibile che il malware è stato sviluppato da loro da zero.

Come conseguenza del contagio del malware Enginebox è in grado di infettare i computer con una serie di moduli di virus. Una delle principali componenti della minaccia è la sua funzione del browser hijacker. Questa parte del codice è stato progettato per infiltrarsi nei browser più diffusi, Compreso: Mozilla Firefox, Safari, Internet Explorer, Google Chrome, Microsoft Edge o Opera. Questo viene fatto al fine di reindirizzare gli utenti in un indirizzo di hacker definito. Di solito impostazioni importanti vengono modificate in modo da riflettere questo cambiamento: la pagina iniziale predefinita, nuova pagina schede o dei motori di ricerca.

I criminali dietro le componenti dirottatori li hanno ideato in modo tale da estrarre in modo efficace le informazioni private. L'elenco comprende i cookie memorizzati, segnalibri, storia, Impostazioni, password, i dati dei moduli e le credenziali di account. Tutto questo viene inoltrato agli hacker tramite una connessione sicura.

Il malware Enginebox è anche in grado di infiltrarsi altri programmi client come client FTP e il software desktop remoto. Poiché il virus si rivolge a reti aziendali è molto probabile che i criminali possono ottenere le credenziali per le infrastrutture critiche e le banche dati.

Una volta che le infezioni sono stati eseguiti sui computer di destinazione il motore di malware stabilisce una connessione di rete con gli hacker per informarli dell'infiltrazione successo. vengono eseguite le seguenti attività:

  • I raccolti di malware informazioni di sistema sensibili EngineBox. Questo include i componenti hardware, informazioni sul software e la lista dei processi in esecuzione. A seconda della configurazione delle istanze del virus può fermare alcuni programmi, modificare le impostazioni di Windows o indulgere in altre azioni connesse.
  • La modifica delle impostazioni essenziali può essere fatto attraverso il registro di Windows, comandi predefiniti o altri mezzi.
  • EngineBox è stato trovato per istituire un'istanza di backdoor, che permette agli hacker di prendere il controllo dei computer. Quando questo è fatto i criminali avere un'opzione always-on di spiare le attività degli utenti. Essi possono utilizzare un keylogger per rubare le password da tutti i tipi di servizi web - da messaggi di posta elettronica a servizi bancari online.
  • Enginebox malware può essere utilizzato per incidere in altri computer della rete utilizzando lo stesso codice di hard-coded sfruttare.
  • Gli hacker dietro le macchine infette per istituire il malware addizionale su di loro.
Story correlati: Invisible Man Android Trojan colpisce gli utenti di applicazioni bancarie

Attacchi EngineBox Malware bancari

Una delle caratteristiche associate a questo virus è che è in grado di raccogliere in modo efficace le credenziali da servizi bancari online. Questo viene fatto utilizzando diversi metodi. Uno di loro si basa sulla capacità di monitorare le azioni vittima associati ad un elenco predefinito di siti. Ogni volta che un sito dalla lista si accede il virus inizia attivamente per cercare i modelli relativi a combinazioni di username e password.

I campioni scoperti sono in grado di impostare un server proxy locale che reindirizza tutto il traffico ad un C di hacker controllato&sito C. Molti dei campioni raccolti vetrina che il malware viene controllato tramite un canale IRC. Questo fornisce un modo molto flessibile per gli operatori criminali per istruire le macchine e ricevere i dati.

Tale comportamento permette agli operatori criminali di affittare la macchine infette o raccolgono grandi database di informazioni. Gli esperti valutano l'attacco così grave come i virus sono pensati per aziende e utenti finali non regolari. Il malware EngineBox è realizzato in modo tale che bypassa i sistemi di sicurezza. Questo si trasforma in un'arma molto efficace nelle mani di un collettivo penale.

Gli utenti di computer possono proteggersi da possibili intrusioni e rimuovere infezioni attive impiegando una soluzione di qualità anti-spyware.

Scarica

Strumento di rimozione malware


Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo