Il malware L0rdix è uno strumento di hacking appena rilevato che viene offerto sui mercati sotterranei degli hacker che permette ai potenziali acquirenti di utilizzare in campagne di attacco contro i computer Windows. Consente ai singoli hacker e gruppi da utilizzare in vari modi come offre vari moduli. Al momento in una delle posizioni viene offerto per circa 60 Dollari americani.
Chiunque può diventare un bersaglio del malware L0rdix
Informazioni su L0rdix è stato pubblicato da Ben Hunter in un rapporto di sicurezza fornire ulteriori dettagli circa il suo comportamento. Il malware è progettato per infettare le macchine Windows ed è attualmente offerto ai potenziali acquirenti in più mercati sotterranei. Ciò che lo distingue da altri malware simile è che combina varie informazioni e dati di rubare le funzionalità con moduli di data mining criptovaluta.
Esso combina in sé un approccio ibrido infezione botnet - macchine compromesse possono tentare di infiltrarsi altre macchine in modo automatizzato. Non appena l'infezione è fatta la minaccia potrebbe lanciare un meccanismo anti-rilevamento. Questa azione verificherà se vi sono una macchina virtuale attivo, ambienti o altri strumenti di analisi del malware. I loro motori saranno disabilitate che contrastare qualsiasi analisi o il rilevamento da loro. Le versioni aggiornate possono utilizzare questo metodo per bypassare il software di sicurezza come i prodotti anti-virus, firewall e ecc.
Una volta che il bypass è stata completa il motore di contattare un server pre-configurato e scarica gli ultimi aggiornamenti ei file di configurazione. A questo punto gli operatori degli hacker avranno la possibilità di distribuire tutti i moduli disponibili in base alla propria strategia. Tutte le macchine infette saranno raccolti per un gruppo di dati che viene utilizzato per generare un ID macchina unica. E 'anche inviato al server principale e. Le informazioni vengono inviate a fianco screenshot di utilizzo del computer. I campioni raccolti nella campagna rilevato sono stati trovati per dirottare i seguenti dati:
- Componenti Hardware Informazioni - Questo sottoinsieme di dati raccoglie le informazioni sulle unità disco rigido, nomi dei modelli di processore e scheda grafica e le specifiche e la memoria installata. informazioni sulle prestazioni è anche incluso, questo viene fatto eseguendo un test delle prestazioni e verifica dei risultati.
- Informazioni sul sistema operativo - I dati raccolti è legato ai privilegi utente, condizioni del sistema operativo ei privilegi utente.
- applicazioni dati - I dati da applicazioni e servizi di terze parti installati viene recuperato. Questo prevede la presenza di prodotti anti-virus.
- Web Data Browser - Se uno dei browser web supportati viene trovato ucciderà i loro processi ed estrarre dati sensibili, inclusi i cookie salvati, preferenze e gli account salvati.
Si dice che le metriche di performance vengono dirottati al fine di ottimizzare la consegna di un criptovaluta minatore che è uno degli effetti più comuni di infezione. Non solo è avviata un'infezione minatore, ma i file di portafoglio individuate saranno dirottati così.
Funzionalità L0rdix Malware dopo l'infezione
L'analisi mostra che una volta che l'infezione è stata in grado di penetrare la sicurezza di un singolo computer si procederà in infettare automaticamente altri host da infettando dispositivi di memorizzazione rimovibili. Le versioni aggiornate possono utilizzare un approccio ancora più pericoloso, interagendo con il manager di rete di Windows e guardare fuori per le azioni accessibili. Quello che segue è un installazione persistente il che rende molto difficile per le infezioni attive da identificati e rimossi con metodi manuali. Il motore cercherà automaticamente i file di configurazione locali e modificarli in modo da avviare automaticamente se stessa quando il computer è acceso.
La reclutamento botnet avviene dopo la distribuzione del virus che è particolarmente preoccupante in quanto permette agli hacker di semi-automaticamente creare una vasta rete di dispositivi infetti. Tali costruzioni sono particolarmente utili per effettuare attacchi DDoS complesse che possono estrarre intere aziende.
A causa del fatto che i campioni di malware L0rdix identificati sono associati a una singola campagna attacco si presume che i futuri attacchi stanno per usare ancora di più moduli e scenari di attacco.