Un nuovo pezzo di, quello che sembra essere, altamente mirato di malware è stato scoperto dai ricercatori AlienVault. Il nuovo ceppo di malware, soprannominata GzipDe e molto probabilmente utilizzati in campagne di cyber-spionaggio, utilizza un articolo sul prossimo Shanghai Cooperation Organization Summit.
Maggiori informazioni sul GzipDe Malware Funzionamento
Circa una settimana fa, ricercatori hanno rilevato un nuovo documento dannoso mira questa zona. Apparentemente, il documento ha incluso un pezzo di testo tratto dal rapporto come esca.
AlienVault ha scoperto un documento Word trappola esplosiva su VirusTotal che è stato pubblicato da un utente dall'Afghanistan. Questo è il modo in cui portato alla luce il malware.
Il documento trappola esplosiva di cui sopra (.file doc) è il primo passo di un'infezione multistadio in cui vengono distribuiti più server e manufatti. La fase finale dell'operazione dannoso sembra essere l'installazione di una backdoor Metasploit. Tuttavia, questo non è così interessante come il downloader .NET, che utilizza un metodo di crittografia personalizzato per offuscare la memoria di processo e di eludere il rilevamento antivirus.
Il documento dannoso ingannato gli utenti in macro permettendo, che un tempo abilitato eseguito uno script Visual Basic. Poi lo script ha un codice PowerShell, che successivamente scaricato un file eseguibile PE32. Il processo si è concluso con il malware attuale - GZipDe - i ricercatori segnalati.
GZipDe sembra essere codificato in .NET, ed è progettato per utilizzare “un metodo di cifratura personalizzato per offuscare la memoria di processo e di eludere il rilevamento antivirus.” Poiché lo scopo iniziale di GzipDe è di agire come un downloader, ciò significa che il malware scaricherà un pezzo più pericolosa da un server remoto. Tuttavia, durante le indagini dei ricercatori, il server remoto era finita che di solito finirebbe l'analisi. Tuttavia, si è scoperto Shodan, il motore di ricerca degli oggetti, indicizzato il server e persino registrato permettano un payload Metasploit.
Il server, 175.194.42[.]8, fornisce un carico utile Metasploit. Contiene shellcode al rilevamento del sistema di bypass (dal momento che sembra di avere un colpo di testa DOS valido) e un carico utile Meterpreter – una backdoor capace. Per esempio, può raccogliere informazioni dal sistema e contattare il server di comando e controllo per ricevere ulteriori comandi.
In aggiunta, lo shellcode carica l'intero DLL in memoria, consentendo in tal modo di operare, mentre nessuna informazione viene scritta nel disco. Questa operazione è nota come iniezione riflettente DLL. Da questo punto, l'attaccante può trasmettere qualsiasi altro carico al fine di acquisire privilegi elevati e spostare all'interno della rete locale, i ricercatori hanno concluso.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: