Un gruppo di hacker sconosciuto che è sospettata di provenire dalla Cina è stato trovato per lanciare un attacco massiccio a livello globale utilizzando una versione trojanized del servizio vocale con il malware PcShare. Ciò è particolarmente pericoloso in quanto la campagna in corso si rivolge a società tecnologiche e reti di imprese. Funziona sostituendo il servizio legittimo di Windows che fa parte della suite Accessibilità.
Infected Narratore servizio di Windows con il PcShare Trojan Lanciato a livello globale
Un rapporto di sicurezza indica che uno sconosciuto l'hacking collettiva, presumibilmente dalla Cina, sta lanciando un pericoloso di malware chiamato PcShare Trojan che è impostato per infettare le reti in tutto il mondo. Secondo i ricercatori che hanno scoperto la minaccia del malware si avvale della insolita tattica di sostituire il servizio legittimo del sistema operativo Windows chiamato Narratore che è l'applicazione principale di lettura dello schermo.
L'esatto meccanismo di intrusione del PcShare Trojan è quello di infettare i padroni di casa destinati e quindi sostituire il servizio vocale legittima con una versione dannoso. La distribuzione esatta del Trojan è fatto principalmente tramite campagne di email di phishing - le vittime designate riceveranno i messaggi che sono stati progettati per imitare quelli regolari che vengono inviati a loro tramite società o servizi noti. L'alternativa è quella di falso loro home page, pagine di destinazione o prompt di login e li ospiterà sui nomi a dominio dal suono simile. Essi possono anche includere i certificati di sicurezza che possono essere falsificati, rubato o auto-firmato per rendere i visitatori credono che stanno visitando un sito sicuro.
È interessante notare che il caricatore PcShare Trojan viene consegnato da un legittimo DLL side-caricata NVIDIA, che fa parte del driver della scheda grafica per il sistema operativo Windows. Il suo scopo è quello di decifrare un inizio il payload maligno che è la seconda tappa del Trojan. Poiché questo viene fatto attraverso un iniezione memoria - il file binario vero e proprio non è mai caduto sul disco rigido della vittima. Questo viene fatto in parallelo con un tecnica di anti-sandboxing che è stato progettato per aggirare o rimuovere del tutto i prodotti e servizi di sicurezza installati. Questo viene fatto soprattutto contro le applicazioni come i programmi anti-virus, ambienti sandbox, firewall, sistemi di rilevamento delle intrusioni e ecc.
Funzionalità PcShare Trojan
Non appena il Trojan viene avviato sul sistema vittima, che porterà a numerosi moduli di malware che devono essere eseguiti. La maggior parte di esse si basano su di malware open-source che sono stati modificati nella campagna attacco. Il Trojan principale sarà stabilire una connessione sicura a un server di hacker controllato permettendo così ai criminali di prendere il controllo delle macchine colpite. Questo permette loro di rubare dati e informazioni preziose, nonché installare altre minacce come pure.
Quando il servizio vocale legittima viene sostituito con quello dannoso sarà ottenere i privilegi amministrativo che permetta di accedere a tutte le sezioni del sistema importanti. Il PcShare Trojan ei moduli maligni distribuiti includono l'installazione di un keylogger che seguirà attivamente l'input da tastiera dell'utente per eventuali credenziali come le password. Se vengono rilevati tali stringhe saranno inoltrati ai criminali.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: