Dimnie is de naam van een recent gerapporteerde nieuwe malware familie die is vliegen onder de radar voor meer dan drie jaar, onderzoekers van Palo Alto Networks zeg.
Dimnie Malware Technisch overzicht
De malware aanviel open-source ontwikkelaars via phishing-e-mails in januari 2017, en dat is hoe het werd ontdekt. De aanvallen betrokken zijn de verdeling van een .doc bestand met ingebouwd macro code om een PowerShell-opdracht uit te voeren. Het uiteindelijke doel was het downloaden en uitvoeren van een kwaadaardig bestand.
Verwant: Latentbot - de Advanced Backdoor met Stealthy Capabilities
Onderzoekers ontdekten dat de eerste samples van Dimnie malware dateren uit de vroege 2014. Het stuk bleef onopgemerkt zo lang vanwege het sluipende C&C-methoden. Toen, Dimnie gerichte Russisch-sprekenden die ook geholpen het te vliegen onder de radar voor meer dan drie jaar.
Bij de eerste inspectie, alles lijkt te zijn dezelfde formule volgen zoveel “traditionele” malware campagnes: e-mail lokken, schadelijke bijlage, macro, PowerShell downloader, en ten slotte een binair payload. Het onderzoeken van de mededelingen van de payload's zorgde ervoor dat we onze wenkbrauwen.
De meest recente campagne ging globale en kon meer malware met als doel het stelen van informatie te downloaden.
In wezen, Dimnie dient als een downloader en is modulair opgebouwd met diverse informatie stelen functionaliteiten. Elke module wordt geïnjecteerd in het geheugen van de kern Windows processen, waardoor analyse nog ingewikkelder, onderzoekers verklaren.
Terwijl het onderzoeken van communicatie Dimnie met zijn C&C server, de onderzoekers ontdekt dat het gebruik van HTTP proxy verzoeken aan de Google PageRank dienst, een dienst die niet langer publiek.
Dimnie gebruikt deze functie om een zogenaamd legit HTTP proxy verzoek om een Google-service maken. Echter, de Google PageRank dienst (toolbarqueries.google.com) is langzaam afgebouwd sinds 2013 en vanaf 2016 is niet meer open voor het publiek. Daarom, de absolute URI in het HTTP-verzoek is voor een niet-bestaand service en de server wordt niet handelt als een proxy. Deze schijnbaar RFC compliant verzoek is slechts camouflage.
Verwant: DiamondFox Botnet Steelt Financiële Informatie
Bovendien, het HTTP-verkeer bleek dat de malware maakt gebruik van een AES-sleutel om payloads eerder versleuteld via AES decoderen 256 in de modus ECB.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: