沈黙は新しいトロイの木馬の名前です (そしてその背後にあるハッキンググループ), 9月にカスペルスキーの研究者によって発見されました. 標的型攻撃は金融機関に対して設定されています, この時点で、その犠牲者は主にロシアの銀行です, マレーシアとアルメニアの組織と同様に.
脅威の概要
| 名前 | 沈黙のトロイの木馬 |
| タイプ | バンキング型トロイの木馬 |
| 簡単な説明 | このトロイの木馬は、内部の銀行ネットワークへの永続的なアクセスを獲得しています, 銀行の従業員のマシンの日常の活動のビデオ録画を作成する. |
| 症状 | 沈黙のトロイの木馬の主な機能は、繰り返しスクリーンショットを撮る機能です, 短い間隔で撮影, 被害者のデスクトップの. 対象のシステムで検出されないようにするという考えで構築されています. |
| 配布方法 | スピアフィッシングメール |
| 検出ツール |
システムがマルウェアの影響を受けているかどうかを確認する
ダウンロード
マルウェア除去ツール
|
ユーザー体験 | フォーラムに参加する 沈黙のトロイの木馬について話し合う. |
| データ回復ツール | ステラフェニックスによるWindowsデータの回復 知らせ! この製品は、失われたファイルを回復するためにドライブセクターをスキャンしますが、回復しない場合があります 100% 暗号化されたファイルの, しかし、それらのほんのわずかです, 状況やドライブを再フォーマットしたかどうかによって異なります. |
これらの攻撃では, Silenceの作成者は、非常に効率的なハッキング手法を使用しており、内部の銀行ネットワークに永続的にアクセスできます。, 銀行の従業員のマシンの日常の活動のビデオ録画を作成する, したがって、ソフトウェアがどのように使用されているかについての知識を獲得します. この知識は後でできるだけ多くのお金を盗むために適用されました.
研究者が以前にCarbanakを対象とした操作でこの手法を観察したことは言及する価値があります. オリジナルで説明されているように 報告, 感染ベクトルは、悪意のある添付ファイルが付いたスピアフィッシングメールです。. Silence攻撃の注目すべき段階は、サイバー犯罪者が実際の銀行の従業員のアドレスからスピアフィッシングメールを送信するために銀行のインフラストラクチャをすでに侵害しており、将来の被害者にできるだけ疑わしくないように見えることです。.
悪意のある.chm添付ファイルSilenceTrojanのキャンペーンの一部
これらの最新のキャンペーンで検出された添付ファイルは、 MicrosoftCompiledHTMLヘルプ ファイル. これは、HTMLページのコレクションで構成されるMicrosoft独自のオンラインヘルプ形式です。, インデックス作成およびその他のナビゲーションツール, 研究者は説明します. これらのファイルは圧縮され、.CHMを使用してバイナリ形式で展開されます (コンパイルされたHTML) 拡大. それらは高度にインタラクティブであり、JavaScriptなどの一連のテクノロジーを実行できます. ファイルは、CHMを開くだけで、被害者を外部URLにリダイレクトできます。.
被害者が添付ファイルを開いたら, 埋め込まれた.htmコンテンツファイル (「start.htm」) 実行されます. このファイルにはJavaScriptが含まれています, その目標は、ハードコードされたURLから別のステージをダウンロードして実行することです.
すぐに言った, 被害者に送信されるスピアフィッシングメール, CHMが含まれています (コンパイルされたHTML) 添付ファイル. 添付ファイルをダウンロードして開くと, CHMファイルは、ドロッパーと呼ばれる悪意のあるペイロードをダウンロードしてインストールするように設定されたJavaScriptコマンドを実行します. 沈黙のトロイの木馬攻撃の場合, このペイロードは、感染したホスト上のデータを収集するためにデプロイされたWin32実行可能ファイルとして識別されています. 収集されたデータは通常、攻撃者のCに送信されます&Cサーバー.
後の段階で, 対象となるマシンが操作にとって価値があると概説されている場合, 攻撃者は、第2段階のペイロードであるSilenceTrojan自体を送信します.
沈黙のトロイの木馬–技術仕様
沈黙のトロイの木馬の主な機能は、繰り返しスクリーンショットを撮る機能です, 短い間隔で撮影, 被害者のデスクトップの. 次に、スクリーンショットがCにアップロードされます&リアルタイムの疑似ビデオストリームが作成されるCサーバー.
トロイの木馬の作者がビデオの代わりにスクリーンショットを使用しているのはなぜですか? コンピュータリソースの使用量が少なく、トロイの木馬が検出されないようにするため、従業員の活動を記録するこの方法を選択した可能性があります。. これが、操作が沈黙と呼ばれる理由である可能性があります.
すべてのデータが収集されたら, サイバー犯罪者はスクリーンショットを確認して、内部のお金の管理システムのURLを見つけるなどの貴重なデータを見つけることができます, 運用を継続する.
操作の最終段階は、正規のWindows管理ツールを悪用して、最終段階でトロイの木馬を偽装することを中心に構築されています。. この手法は、以前はCarbanakによって使用されていました.
金融機関への標的型攻撃から保護する最善の方法は、あらゆる種類の異常を検出し、疑わしいファイルをより深いレベルで精査できるソリューションにある高度な検出機能を導入することです。, 研究者は言う.
SpyHunterスキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: