gli analisti della sicurezza rilevato una nuova campagna di attacco che si concentra sulla Ucraina portando una nuova arma pericolosa - il malware Vermin. Secondo i rapporti pubblicati questa è una versione pesantemente aggiornata del Quasar Trojan che è stato ulteriormente personalizzato con codice personalizzato. Il codice pericoloso permette ai criminali di superare pieno controllo dei dispositivi compromessi.
Il Parassiti malware si è scatenato
Una recente campagna attacco contro dispositivi situati in Ucraina ha portato alla scoperta di un nuovo malware pericoloso chiamato Vermin. I ricercatori che hanno rilevato le infezioni sottolineano che è un fork del Quasar Trojan che contiene molti miglioramenti codici e integrazioni personalizzate. Questo lo rende un'arma formidabile a causa del fatto che non è direttamente associato a modelli di comportamento di Quasar e motore antimalware originali. L'attacco mirato che è impostato contro il paese è legata a due scenari di casi in esame. La prima è legata al fatto che è possibile che gli operatori degli hacker hanno pre-configurato l'attacco utilizzando un elenco di ready-made di obiettivi. La seconda proposta è attribuito al fatto che il motore in grado di estrarre informazioni dettagliate sulle impostazioni internazionali. Utilizzando le informazioni acquisite il motore malware può attivarsi se ritiene che i dispositivi compromessi sono vitali. In altri casi si può cancellare se stesso per evitare il rilevamento.
Gli attacchi sono iniziati principalmente attraverso messaggi distribuiti tramite social networks, uno dei principali tattiche è stato quello di utilizzare vari falsi profili Twitter e link al documenti infetti. Essi possono essere di diverso tipo tra cui: documenti di testo ricco, presentazioni e fogli di calcolo. I criminali dietro di esso l'uso tattiche di social engineering che costringere le vittime a interagire con i file. Sono fatti per apparire come i documenti realizzati da Ministero della Difesa del paese. I file contengono un file eseguibile autoestraente esca che attiva il codice malware che porta alle infezioni.
Tattiche Vermin malware infiltrazione - il processo malware
Una volta che le infezioni hanno iniziato una connessione sicura con un server di hacker controllato è stabilito. La cosa interessante è che gli operatori utilizzano il protocollo SOAP anziché il HTTP comuni. È utilizzato principalmente per lo scambio di informazioni strutturate e uno dei motivi per cui si è preferito è il fatto che il software di sicurezza automatizzato di solito non controllare questo protocollo in quanto non può essere incluso nelle firme standard,. Un'analisi dettagliata mostra che le campagne continue funzione diversi ceppi personalizzate. Tutti loro sono costruiti utilizzando parametri variabili che possono rendere difficile rimozione nel caso in cui più infezioni mirano alla stessa rete.
I primi controlli che vengono effettuati dopo l'infetta di malware sono legate alle impostazioni internazionali. Il motore di malware è in grado di creare un profilo dettagliato dei dispositivi della vittima. Questo include sia metriche anonimi e dati personali identificabili. La prima categoria è legata alla informativi hardware e variabili di sistema. E 'principalmente utilizzato dagli operatori degli hacker per giudicare quanto efficace gli attacchi sono. La seconda categoria è costituita da dati che possono esporre direttamente l'identità della vittima. Si compone di stringhe che sono legati al loro nome, indirizzo, numero di telefono, geolocalizzazione, preferenze e credenziali di account.
Gli specialisti indicano che il codice Parassiti si affaccia per quattro lingue di input specifici: ru – russo, UK – ucraino, it-it – Russo e uk-UA – ucraino. Se uno dei controlli passa l'infezione continua ulteriormente. I passi successivi sono legati al download di componenti aggiuntivi di malware. Sono in forma criptata e vengono decifrati on-the-fly, nonché eseguiti subito dopo che. Durante questa fase di inizializzazione gli hacker possono consentire un protezione invisibile che possono bypassare eventuali servizi di sicurezza rilevati. Questo include sandbox, macchine virtuali e ambienti di debug. Il motore di malware può aggirare o rimuoverli in base alle istruzioni incorporate. In alcuni casi, qualora constati che non è in grado di farlo in modo che possa eliminare se stesso per evitare il rilevamento.
Oltre a tutto il resto gli analisti hanno scoperto che la minaccia installa un keylogger. Si è incorporato nei vari processi di malware e travestito da il servizio di stampa Adobe. Il processo può raccogliere vari pezzi di informazioni - tutte le battiture, movimento del mouse o interazioni individuali come definito dagli operatori. Le informazioni raccolte sono criptate e quindi memorizzato in una cartella:
%appdata% Microsoft Proof Impostazioni.{ED7BA470-8E54-465E-825C-99712043E01C}\Profiles .
Ogni file di log individuo è registrato utilizzando il seguente formato: "{0:gg-mm-aaaa}.testo".
Funzionalità Vermin Malware
Una volta che il malware parassiti ha accesso al computer ed è infiltrata i processi del sistema collegando a loro e creando proprie discussioni moduli permettere i criminali di lanciare una varietà di comandi. Questo viene fatto utilizzando la connessione di rete protetta speciale tramite il protocollo SOAP citato. L'elenco completo include le seguenti opzioni:
- ArchiveAndSplit - Archivio file di destinazione e dividerli in parti
- CancelDownloadFile - annullare una corsa File Transfer
- CancelUploadFile - Cancellare una corsa Carica processo
- CheckIfProcessIsRunning - controlla se un processo di destinazione è in esecuzione.
- CheckIfTaskIsRunning - interroga il sistema per un processo in esecuzione specifico.
- Creare una cartella - Fa una nuova cartella nella posizione specificata
- Cancella file - Rimuove un file di destinazione.
- DeleteFolder - Comandi il malware per eliminare una cartella Set.
- Download file - Recupera un file da una posizione a distanza.
- GetMonitors - Verifica la presenza di eventuali applicazioni che potrebbero essere il monitoraggio del sistema.
- GetProcesses - Recupera la lista dei processi in esecuzione.
- Termina il processo - Interrompe processi in esecuzione.
- ReadDirectory - legge il contenuto della directory di destinazione.
- Rinomina il file - Rinominare i file di destinazione.
- RunKeyLogger - Esegue il modulo Keylogger.
- SetMicVolume - Regola il volume del microfono.
- ShellExec - Esegue comandi forniti.
- Home Audio Capture - Consente la sorveglianza audio.
- StartCaptureScreen - consente al modulo Schermata.
- StopAudioCapture - Disabilita la sorveglianza audio.
- StopCaptureScreen - Disabilita Il modulo Schermata.
- UpdateBot - Aggiorna il modulo di virus Parassiti esecuzione.
- Caricare un file - Trasferimenti un file sul server di comando.
I seguenti domini sono stati trovati ad essere in relazione alle campagne di attacco finora:
akamaicdn[.]ru
cdnakamai[.]ru
www.akamaicdn[.]ru
www.akamainet066[.]Informazioni
www.akamainet023[.]Informazioni
www.akamainet021[.]Informazioni
akamainet023[.]Informazioni
akamainet022[.]Informazioni
akamainet021[.]Informazioni
www.akamainet022[.]Informazioni
akamainet066[.]Informazioni
akamainet024[.]Informazioni
www.cdnakamai[.]ru
notifymail[.]ru
www.notifymail[.]ru
mailukr[.]netto
Tech-adobe.dyndns[.]biz
www.mailukr[.]netto
185.158.153[.]222
94.158.47[.]228
195.78.105[.]23
94.158.46[.]251
188.227.75[.]189
212.116.121[.]46
185.125.46[.]24
5.200.53[.]181
Vermin Virus Removal
Le tattiche di infezione complessi che sono associati con il virus Parassiti dimostra che può essere rimosso solo con una qualità soluzione anti-spyware. Una volta che le infezioni hanno avuto luogo una approfondita analisi del sistema consegue che dà il motore di malware informazioni dettagliate su come la macchina compromessa è configurata. Questo permette al Trojan di influenzare tutti i principali componenti del sistema operativo. Come tali gli operatori hacker può sigillare i file sensibili, spia sulle vittime e utilizzare i dati raccolti per il ricatto e la frode scopi.
Consigliamo vivamente tutte le vittime di eseguire una scansione del sistema gratuito al fine di assicurarsi che essi siano sicuri utilizzando un'applicazione di sicurezza affidabile. La soluzione è anche in grado di salvaguardare i computer da eventuali attacchi in arrivo.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: