Casa > Cyber ​​Notizie > StrongPity Hackers lancia un attacco spyware contro obiettivi Turchia e Siria
CYBER NEWS

StrongPity Hackers lancia un attacco spyware contro obiettivi di Turchia e Siria

I ricercatori della sicurezza hanno rilevato che un gruppo di hacking chiamato StrongPity sta eseguendo un attacco in corso utilizzando file spyware. I risultati mostrano che questa particolare campagna sembra essere focalizzata su obiettivi curdi che sono presenti in questi paesi.




Host di Turchia e Siria presi di mira da hacker esperti di StrongPity che utilizzano spyware modificato

Lo spyware utilizzato come strumento di infiltrazione è una versione modificata del malware precedentemente rilevato. Ora includono nuove funzionalità e modifiche al codice che riflettono il fatto che i criminali sono esperti.

Gli hacker si sono concentrati sulla preselezione dei loro obiettivi in ​​modo da rappresentare i computer e le reti che sono di proprietà e utilizzati dai curdi. Ciò dimostra chiaramente che questa campagna è politicamente motivata. I timestamp integrati nei file acquisiti indicano che coincidono Ottobre 1 2019. Questo può riferirsi a due cose — la data di compilazione degli strumenti o l'inizio di Operazione Peace Spring — le azioni militari turche in Siria che hanno usato questo nome in codice. Tutto ciò dimostra che potrebbe essere possibile che la campagna sia sponsorizzata dallo stato.

Le infezioni vengono eseguite preselezionando i server di destinazione e quindi avviando un pericoloso virus Trojan contro di essi. Le versioni modificate dei Trojan verranno consegnate attraverso un attacco chiamato abbeveratoio. Vengono effettuati selezionando siti Web comunemente visitati che verranno hackerati e reindirizzati a una pagina di destinazione controllata dagli hacker. Ciò attiverà il download di un pacchetto di applicazioni o file eseguibili diretti. Questi file sono firmati digitalmente con certificati autofirmati che appariranno come un software legittimo. Vengono inoltre aggiunte le chiavi di crittografia per nascondere i contagocce dalle normali scansioni di sicurezza. Esempi di pacchetti software infetti includono esempi come i seguenti:

  • Programmi di archiviazione — 7-Zip e WinRAR
  • Software di sicurezza — McAfee Security Scan Plus
  • Applicazioni di recupero file — Recuva
  • Applicazioni di connessione remota — TeamViewer
  • Applicazioni di chat — WhatsApp
  • Utilità di sistema — Pirleaner piriforme, CleverFiles, disk Drill, DAEMON Tools Lite, Glary Utilities e RAR Password Unlocker

Quando vengono eseguiti i dropper, il codice dannoso si avvia e interagisce con i server controllati dagli hacker recuperando da essi la seconda fase degli strumenti spyware.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/ransomware-lenovoemc-nas-devices/ “]Il ransomware si rivolge ai dispositivi NAS Lenovo EMC

Gli hacker di StrongPity includono funzionalità avanzate nello spyware

Quando le vittime hanno ingaggiato i relativi file spyware, questo porta al dispiegamento di 4 file: il file di installazione del software legittimo, launcher e il relativo componente di installazione persistente rilevante, il componente di dirottamento dei dati e un ricercatore di file.

Il Trojan caricherà prima l'effettiva installazione del software legittimo in modo che gli utenti della vittima non sospettino alcuna azione potenzialmente pericolosa. Tuttavia nel frattempo il codice del virus verrà avviato in background. I componenti malware vengono consegnati in forma crittografata e vengono estratti quando è necessario accedervi in ​​sezioni che li proteggeranno da eventuali scansioni di sicurezza.

Il componente di avvio dello spyware verrà recapitato nella cartella SYSTEM da qui inizierà un servizio a sé stante. Gli esempi raccolti mostrano che il malware impersonerà un servizio del sistema operativo in esecuzione come Spooler di stampa o Server di manutenzione del registro. Un'azione correlata è l'installazione della minaccia in a stato persistente. Ciò significa che il codice virus e tutti i componenti correlati verranno automaticamente avviati all'accensione del computer.

Il la raccolta dei dati Il modulo verrà eseguito insieme al ricercatore di file componente al fine di trovare file che possono essere considerati sensibili dagli hacker. Ciò include sia le informazioni personali dell'utente sia i dati della macchina che verranno inviati ai criminali utilizzando una connessione di rete.

Date queste capacità, è molto possibile che il codice possa essere modificato per includere altre funzionalità come la seguente:

  • Ulteriori Installazione Malware — Durante il processo di infiltrazione, gli strumenti spyware possono essere programmati per fornire e installare codice malware in tutte le principali categorie di virus. Questo può includere pienamente capace Trojan progettati per superare il controllo delle macchine vittime e rubare i dati sensibili contenuti al loro interno. Le minacce Web spesso portano minatori criptovaluta inoltre - scaricheranno ed eseguiranno una sequenza di attività complesse ad alte prestazioni. Sfrutteranno i componenti hardware più importanti: processore, Memoria, Grafica, Spazio su disco rigido, GPU e velocità di rete. Per ogni attività completata e segnalata segnalata, gli hacker riceveranno la criptovaluta come ricompensa. Un altro possibile malware che può essere installato sarebbe un virus ransomware — elaboreranno i dati dell'utente in base a un elenco integrato di estensioni del tipo di file di destinazione. Saranno crittografati, il che renderà inaccessibile. Saranno quindi estorti per pagare una tassa di decrittazione.
  • modifiche al sistema — I criminali possono anche implementare la manipolazione avanzata del sistema, compresa la modifica dei file di configurazione e le modifiche al registro di Windows. Ciò può rendere impossibile l'avvio di determinati servizi e può anche portare a errori imprevisti e problemi di sistema più ampi.
  • Reclutamento botnet — In alcuni casi, gli host contaminati possono essere reclutati in una rete mondiale di computer collegati. Il loro potere collettivo può essere sfruttato per attacchi su larga scala che possono essere concentrati su un singolo computer bersaglio. Il tipo più comune di attacco è il Distributed Denial of Service campagne che elimineranno i siti target.

Si prevede che tali campagne mirate continueranno in quanto gruppi di hacking avanzati sono politicamente motivati ​​e utilizzano ricerche preliminari sulle reti di vittime designate.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo