Rio Malware 2016: Trojan-Proxy.PowerShell.Agent.a - Come, Tecnologia e Security Forum PC | SensorsTechForum.com
CYBER NEWS

Rio Malware 2016: Trojan-Proxy.PowerShell.Agent.a

1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessuna valutazione)
Loading ...

warning-trojan-BackDoor.TeamViewer.49

Oltre ransomware, questo mese ha visto alcuni Trojan bancari più grandi dotate di nuove varianti, nonché del tutto nuovi pezzi. L'ultimo Trojan bancario che è stato in agguato dietro utilizza Microsoft PowerShell per modificare le impostazioni del proxy locale del PC della vittima per reindirizzare gli utenti a un altro server durante il tentativo di accedere a un portale bancario. i ricercatori di Kaspersky hanno individuato il Trojan come Trojan-Proxy.PowerShell.Agent.a.


Trojan-Proxy.PowerShell.Agent.a: Panoramica tecnica

Crooks sono sempre creando nuovi modi per migliorare il malware che usano per colpire i conti bancari, e ora attaccanti brasiliani hanno fatto un importante aggiunta al loro arsenale: l'uso di PowerShell, i ricercatori di Kaspersky indicare.

Il Brasile è il paese più infetti in tutto il mondo in termini di Trojan bancari, secondo il Q1 di Kaspersky 2016 rapporto, quindi non è sorprendente che la qualità delle minacce informatiche è in continua evoluzione. Il team di ricerca è stato in grado di “catturare” Trojan-Proxy.PowerShell.Agent.a in natura a pochi giorni fa, segna un nuovo successo dai criminali informatici del Brasile.

Questa non è la prima volta che dei Trojan bancari dirottamento impostazioni computer proxy. Tuttavia, in campagne precedenti aggressori hanno utilizzato PAC locale, o Proxy Auto-Config. In aggiunta, il Trojan utilizza anche PowerShell.

Che cosa è PowerShell?

PowerShell è un framework per l'automazione delle attività e la gestione della configurazione di Microsoft, costituito da un guscio di riga di comando e linguaggio di script associato costruita sul Framework .NET. L'utilità è stata recentemente open-source ed è ora disponibile per Linux e Mac.


Trojan-Proxy.PowerShell.Agent.a percorso di distribuzione

Il Trojan si diffonde attraverso una campagna di e-mail, ed è un mascherato come una ricevuta da un operatore di telefonia mobile in un file PIF dannoso. Una volta eseguito, il file sarebbe possibilità della configurazione proxy in Internet Explorer a un server proxy dannoso per reindirizzare connessioni a pagine di phishing per le banche brasiliane.

proxy-PowerShell-trojan-kaspersky-stforum

È interessante notare che, il cavallo di Troia non impiega un comando & comunicazione di controllo:

Dopo l'esecuzione, ha generato il processo "powershell.exe" con la riga di comando "-ExecutionPolicy bypass -File% temp% 599D.tmp 599E.ps1" con l'obiettivo di bypassare criteri di esecuzione di PowerShell. Il file con estensione ps1 nella cartella Temp utilizza nomi casuali. Si tratta di uno script Base64 codificato in grado di apportare modifiche al sistema.

Perché altre applicazioni che non hanno un gestore di proxy incorporato utilizzare questa configurazione, impostazioni del proxy sono cruciali. Inoltre, i browser più diffusi, tranne Firefox utilizzano le impostazioni proxy di Internet Explorer come le impostazioni di connessione Internet predefinita, che rende le cose peggiori per gli utenti.

In altre parole, quando l'utente tenta di accedere al portale bancario attraverso uno dei browser colpite, la richiesta HTTP viene intercettata e reindirizzata al server malevolo. L'utente verrà reindirizzato ad un portale bancario falso che raccoglie le sue credenziali bancarie.


Trojan-Proxy.PowerShell.Agent.a: obiettivi

Per ora, il Trojan bancario si rivolge solo le banche in Brasile, ma i ricercatori si aspettano la campagna per spostarsi in altri paesi come la fine dei giochi olimpici è vicino. macchine Attualmente il malware è specificatamente destinate a cui lingua predefinita è Portoghese brasiliano, o PTBR.

Altri Trojan bancari per tenere lontano da:


Trojan-Proxy.PowerShell.Agent.a: Rimozione e Protezione

gli utenti infetti dovrebbero immediatamente rimuovere il Trojan dai loro sistemi. Il modo migliore per farlo è automaticamente, tramite un potente programma anti-spyware.

rimuovere automaticamente Trojan-Proxy.PowerShell.Agent.a scaricando un programma anti-malware avanzato

1. Rimuovere Trojan-Proxy.PowerShell.Agent.a con lo strumento SpyHunter Anti-Malware
2. Eseguire il backup dei dati per proteggere contro le infezioni e la crittografia dei file di Trojan-Proxy.PowerShell.Agent.a in futuro
3. Ripristinare i file crittografati da Trojan-Proxy.PowerShell.Agent.a
Opzionale: Utilizzo degli strumenti Alternative Anti-Malware
Avatar

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli!

Altri messaggi

1 Commento

  1. Avatargrazioso

    Io uso di proxy e non hanno alcun problema con trojan.

    Replica

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...