Casa > Cyber ​​Notizie > Gli hacker di Turla rilasciano un nuovo Trojan riduttore che legge il traffico sicuro
CYBER NEWS

Turla Gli hacker rilascio Nuova Reductor Trojan che legge il traffico sicuro

Una squadra di sicurezza di esperti hanno scoperto una nuova generazione di malware che viene creato dal gruppo di hacker Turla e si chiama il Reductor Trojan. Secondo la ricerca a disposizione è un successore del malware COMpfun già rilasciato inizialmente segnalato circa nel 2014. Le campagne attive che lo portano sembrano essere contro bersagli situati in Bielorussia e in Russia.




Reductor Trojan è il più nuovo malware pericoloso con Turla hacker

Il gruppo di hacker Turla è un gruppo esperto che ha messo a punto una nuova pericolosa minaccia conosciuta come la Reductor Trojan. E 'inoltre distribuito da tutta una tecnica nuova.

Il modulo del malware si crede che avvenire attraverso un nuovo approccio che non è l'uomo-in-the-middle classica che è tipico di questi casi. Invece il malware si installa i certificati di sicurezza nei browser web consentendo in tal modo gli aggressori remoti di dirottare le sessioni sicure e informazioni private. Il metodo likey che è stata utilizzata dagli aggressori è la distribuzione di installazione di applicazioni malware infetti di browser web. Un luogo probabile trovare loro è quello di caricarle su “warez” siti - siti ombreggiato che presenti applicazioni pirata e dati che sono generalmente azionati da hacker o truffatori. Ci sono due scenari possibili in questo caso:

  • copycat Installatori - Gli hacker possono impersonare i fasci di impostazione legittimi dei browser più diffusi - le più popolari sono Mozilla Firefox e Google Chrome.
  • Installatori App modificati & versioni personalizzate - Gli hacker possono creare “aggiornato” o “ottimizzato” versioni dei browser web comuni e presentarli sul siti falsi. L'altra tecnica è quella di creare falsi nuovi browser che sono semplicemente rimarchiati versioni delle applicazioni più diffuse che caratterizzano il codice del virus.

In ogni momento le tecniche di distribuzione possono passare ad altri metodi: l'uso di reti di file-sharing e l'inclusione di link alle pagine di malware tramite messaggi di posta elettronica ei profili di social network che sono o violato o falso.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/vullnerabilities-ransomware-enterprise/”]Le vulnerabilità ransomware Usi in attacchi Enterprise

Il Reductor Trojan e le sue capacità

Non appena il Reductor Trojan viene distribuito in un dato sistema verrà avviato il suo motore principale. Sarà connettersi a un server hacker controllata che permette agli hacker di prendere il controllo dei padroni di casa, rubare i loro file e installare anche altre minacce.

Cosa c'è di pericoloso è il fatto che il Trojan sarà in grado di dirottare tutto il traffico sensibile e sicuro che scorre da parte degli utenti a pagine Internet e viceversa. Facendo funzionare il motore in questione i criminali possono condurre una serie di azioni pericolose. I campioni acquisiti sono stati trovati per consentire i seguenti:

  • hostinfo - Questo comando recupererà hostname del computer
  • getTimeout - In questo modo recuperare il valore di timeout dal Registro di sistema di Windows
  • domainlist - Questo trasmetterà attualmente utilizzato C&dominio del server C
  • downfile - Questo scaricherà un dato file dal computer infetto
  • upfile - Ciò caricare un file sul computer contaminati
  • opzioni - permette agli hacker di modificare determinati valori nel Registro di sistema di Windows
  • execfile - Questo eseguirà un determinato file sul host remoto
  • nop - Inattivo
  • uccidere - Questo cancellerà tutti i file ei dati che sono associati con il Trojan Reductor. Questo include i certificati digitali, file, biscotti, I valori del Registro di Windows e tutti i relativi moduli
  • cancella il file - Questo cancellerà un file in un determinato luogo
  • certlist - Ciò rinnova i certificati digitali del malware installato

Oltre al motore di Troia principale stesso gli hacker probabilmente consentirà moduli comuni tra cui il installazione persistente uno. Sarà modificare le opzioni di configurazione di avvio consentendo in tal modo il motore principale per iniziare non appena il sistema operativo viene avviato. In molti casi, questo sarà anche disabilitare l'accesso alle opzioni di avvio di recupero. Il fatto che gli hacker mirano traffico sicuro ci dà ragione di credere che il gruppo hacker è probabilmente tentando di dirottare le sessioni di online banking. Tuttavia altri scenari sono anche suscettibili di essere utilizzati per il furto di dati sensibili, nonché la sorveglianza di obiettivi di alto profilo.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo