L'InnfiRAT Malware è una minaccia appena scoperta che include un sofisticato modulo di furto criptovaluta. E 'scritto utilizzando il framework .NET e si rivolge in particolare macchine Windows.
I titolari criptovaluta sotto attacco da L'InnfiRAT Malware
I ricercatori di sicurezza hanno scoperto una nuova campagna attacco portando una minaccia chiamata InnfiRAT il malware. Esso è distribuito da un collettivo di hacking sconosciuta, in considerazione del fatto che le infiltrazioni sono classificati come avanzato ci aspettiamo che essi sono molto esperti. Il malware può essere spalmato con numerosi metodi come il seguente:
- Strategie di phishing - I criminali possono inviare messaggi di posta elettronica e orchestrare i siti web che imitano i servizi web e le aziende. Ogni volta che sono interagito con loro sarà distribuito il rispettivo di malware.
- I vettori payload - Il codice di installazione virus può essere collocato in installatori app o documenti (come script). Un altro esempio è la creazione di plugin per i browser web più popolari.
In uno dei campioni acquisiti gli analisti hanno identificato che il codice dannoso viene trovata in un falso file di installazione del driver NVIDIA. Quando viene eseguito verrà eseguito la sequenza in questione. Si inizia con un controllo del file che cerca o meno l'applicazione del malware viene eseguito da un luogo prestabilito. Sarà usato per infiltrarsi nel sistema e distribuire in luoghi di sistema per rendere più difficile l'individuazione. Dopo che il file è stato collocato nella rispettiva posizione sarà decodificare il motore principale e avviarlo. Ciò che è particolarmente interessante a questo proposito è che è criptato.
All'inizio del dispiegamento virus di uno dei primi passi lo fa è il lancio di una by-pass di sicurezza. Si inizierà ad analizzare i memoria e hard disk contenuti e scoprire se ci sono eventuali applicazioni di sicurezza in esecuzione o servizi in grado di bloccare l'infezione da virus corretta: host di macchine virtuali, ambienti sandbox, programmi anti-virus, firewall e sistemi di rilevamento delle intrusioni.
Se nessuno di questi si trovano su un dato sistema l'infezione continua. Il passo successivo nel processo di infezione è il raccolta di informazioni - verrà estratto una lunga lista di informazioni della macchina e dei dati utente. L'elenco delle informazioni sull'hardware che viene acquisita è il seguente:
produttore del dispositivo, didascalia, nome, informazioni sul processore di identità, numero di core, Dimensione della cache L2, Dimensione della cache L3 ed etichettatura di presa.
In aggiunta i dati circa lo stato della rete e le informazioni di geolocalizzazione è anche dirottato: l'indirizzo IP del sistema host, così come città, regione, paese, codice postale. Se la macchina è parte di un'organizzazione o azienda che verrà visualizzato anche. Il prossimo passo sarà quello di avviare un modulo Trojan che stabilirà una connessione sicura a un server di hacker controllato e permettere ai controllori criminali per dirottare le loro macchine.
InnfiRAT Malware Operazioni di Troia
Le operazioni di Troia includono la possibilità di iniettare nei browser più diffusi e dirottare le loro operazioni, così come li uccidono:
- Google Chrome
- Browser Generico
- Mozilla Firefox
- Opera
- amico
- cometa
- Torcia
- Orbitum
Le operazioni di Troia consentono gli aggressori remoti di spiare le vittime in tempo reale e uccidono le finestre del browser. Il furto di cookie del browser e la storia permette ai criminali di controllare se gli utenti di computer utilizzano criptovaluta in alcun modo: memorizzazione, trasferimento e altre attività.
Si può anche controllare la memoria di eventuali processi in esecuzione e creare nuovi portafogli nelle rispettive applicazioni. Le applicazioni saranno creare portafogli in esse e impostare come predefinita. Ciò significa che le operazioni che vengono fatte dagli utenti di solito li riguardano. Tutte le interazioni utente può anche essere reindirizzato a questo portafoglio. Di conseguenza le vittime non saranno consapevoli del fatto che eventuali trasferimenti di denaro diretti a loro saranno consegnati agli hacker.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: