Il silenzio è il nome di un nuovo Trojan (e il gruppo di hacker dietro di esso), scoperto nel mese di settembre dai ricercatori di Kaspersky Lab. L'attacco mirato è impostata contro le istituzioni finanziarie, ea questo punto le sue vittime sono le banche in primo luogo russe, così come le organizzazioni in Malesia e in Armenia.
Sommario minaccia
| Nome | silenzio Trojan |
| Tipo | Trojan bancario |
| breve descrizione | Il Trojan sta guadagnando l'accesso permanente alle reti bancarie interne, registrazioni video delle attività quotidiane delle macchine dei dipendenti della banca. |
| Sintomi | Il silenzio Trojan caratteristica principale è la capacità di prendere screenshot ripetuti, prese a piccoli intervalli, della scrivania della vittima. E 'stato costruito con l'idea di rimanere inosservato sui sistemi mirati. |
| Metodo di distribuzione | email spear-phishing |
| Detection Tool |
Verifica se il tuo sistema è stato interessato da malware
Scarica
Strumento di rimozione malware
|
Esperienza utente | Iscriviti alla nostra Forum per discutere Silenzio Trojan. |
| Strumento di recupero dati | Windows Data Recovery da Stellar Phoenix Avviso! Questo prodotto esegue la scansione settori di unità per recuperare i file persi e non può recuperare 100% dei file crittografati, ma solo pochi di essi, a seconda della situazione e se non è stato riformattato l'unità. |
In questi attacchi, autori di silenzio sono state utilizzando una tecnica di hacking molto efficiente - l'accesso permanente alle reti bancarie interne, registrazioni video delle attività quotidiane delle macchine dei dipendenti della banca, acquisendo conoscenza su come viene utilizzato il software. Questa conoscenza è stata poi applicata per rubare quanto più denaro possibile.
Vale la pena ricordare che i ricercatori hanno osservato in precedenza questa tecnica in Carbanak operazioni mirate. Come spiegato in originale rapporto, il vettore di infezione è un'email di spear-phishing con un allegato dannoso. Un palcoscenico degno di nota per l'attacco silenzio è che i criminali informatici avevano già compromesso le infrastrutture bancarie al fine di inviare loro email lance-phishing dagli indirizzi dei dipendenti di banca reale in modo che essi guardano come insospettabile possibile per le vittime future.
Dannoso chm Allegato parte della campagna di silenzio Trojan
L'allegato rilevato in queste ultime campagne è stato identificato come un Microsoft Compiled HTML Help file. Questo è un formato proprietario di Microsoft aiuto in linea che si compone di un insieme di pagine HTML, indicizzazione e altri strumenti di navigazione, ricercatori spiegano. Questi file sono compressi e distribuiti in un formato binario con la .CHM (HTML compilata) estensione. Essi sono altamente interattivi e possono eseguire una serie di tecnologie come JavaScript. I file possono reindirizzare una vittima verso un URL esterno dopo semplicemente aprendo il CHM.
Una volta che l'allegato viene aperto dalla vittima, il file di contenuto htm incorporato (“Start.htm”) viene eseguito. Questo file contiene JavaScript, e il suo obiettivo è quello di scaricare ed eseguire un altro stadio da un URL hardcoded.
Poco detto, le email spear-phishing inviati alle vittime, essi contengono un CHM (HTML compilata) file allegato. Su scaricando e aprendo l'allegato, il file CHM verrà eseguito JavaScript comandi set di scaricare e installare un payload dannoso noto come un contagocce. Nel caso dell'attacco Silenzio Trojan, questo payload è stato identificato come un eseguibile Win32 implementato per raccogliere dati su host infetti. I dati raccolti vengono tipicamente inviato a C degli attaccanti&Server C.
In una fase successiva, quando una macchina mirata è delineato come un valore della operazione, gli attaccanti inviano un secondo stadio payload - Silenzio Trojan si.
Silence Trojan - Caratteristiche Tecniche
Il silenzio Trojan caratteristica principale è la capacità di prendere screenshot ripetuti, prese a piccoli intervalli, della scrivania della vittima. Le schermate vengono quindi caricati nella C&server di C in cui viene creato un flusso pseudo-video in tempo reale.
Perché gli autori del Trojan usando le immagini al posto di un video? Possono hanno scelto questo modo di registrare le attività dei dipendenti in quanto utilizza meno risorse del computer e aiuta il Trojan rimanere inosservato. Questo può essere il motivo per il funzionamento è chiamato Silenzio.
Una volta che tutti i dati vengono raccolti, i criminali informatici possono rivedere le schermate per individuare dati importanti come la ricerca di URL dei sistemi di gestione del denaro interni, di continuare il loro funzionamento.
La fase finale dell'operazione è costruito attorno allo sfruttamento del legittimo strumenti di amministrazione di Windows per mascherare il Trojan nella sua fase finale. Questa tecnica è stata utilizzata in precedenza da Carbanak.
Il modo migliore per proteggersi da attacchi mirati alle organizzazioni finanziarie è quello di implementare capacità di rilevamento avanzate che si trovano in una soluzione in grado di rilevare tutti i tipi di anomalie e anche esaminare i file sospetti a un livello più profondo, dicono i ricercatori.
scanner SpyHunter rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: