Dimnieは、最近報告された新しいマルウェアファミリーの名前であり、3年以上にわたってレーダーの下を飛んでいます。, パロアルトネットワークスの研究者 いう.
Dimnieマルウェアの技術概要
このマルウェアは、1月にフィッシングメールを介してオープンソース開発者を攻撃していました 2017, それが発見された方法です. 攻撃には、PowerShellコマンドを実行するための埋め込みマクロコードを含む.docファイルの配布が含まれていました. 最終的な目標は、悪意のあるファイルのダウンロードと実行でした.
関連している: Latentbot –ステルス機能を備えた高度なバックドア
研究者は、Dimnieマルウェアの最初のサンプルが初期にさかのぼることを発見しました 2014. ステルスCのため、このピースは長い間検出されませんでした。&Cメソッド. 当時, ディミーはロシア語を話す人をターゲットにしており、これも3年以上にわたってレーダーの下を飛ぶのに役立ちました.
初期検査時, すべてが多くの「従来の」マルウェアキャンペーンと同じ公式に従っているように見えます: メールルアー, 悪意のある添付ファイル, 大きい, PowerShellダウンローダー, そして最後にバイナリペイロード. ペイロードの通信を調べると、眉が上がりました.
最新のキャンペーンはグローバルに展開され、情報を盗む目的でさらに多くのマルウェアをダウンロードする可能性があります.
本質的に, Dimnieはダウンローダーとして機能し、さまざまな情報を盗む機能を含むモジュラー設計になっています. 各モジュールは、コアWindowsプロセスのメモリに挿入されます, これにより、分析がさらに複雑になります, 研究者は説明します.
DimnieとCとのコミュニケーションを調べている間&Cサーバー, 研究者は、GooglePageRankサービスへのHTTPプロキシリクエストを採用していることを発見しました, 公開されなくなったサービス.
Dimnieはこの機能を使用して、Googleサービスへの正当なHTTPプロキシリクエストを作成します. でも, GooglePageRankサービス (tutorialqueries.google.com) 以来、徐々に段階的に廃止されています 2013 と現在 2016 もはや一般に公開されていません. したがって, HTTPリクエストの絶対URIは存在しないサービス用であり、サーバーはプロキシとして機能していません. この一見RFC準拠の要求は、単なるカモフラージュです.
関連している: DiamondFoxボットネットが財務情報を盗む
加えて, HTTPトラフィックは、マルウェアがAESキーを使用して、以前にAESを介して暗号化されたペイロードを復号化することを明らかにしました 256 ECBモードの場合.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: