Beveiliging onderzoekers ontdekt dat een reeks van voortdurende aanvallen met behulp van de EngineBox malware zijn gericht op financiële instellingen in Brazilië. De hackers gebruiken kwaadaardige spamberichten naar de bedrijven die gek in het infecteren van hun gastheren met de gevaarlijke bedreiging.
Hoe EngineBox Malware infecteert zijn slachtoffers
De Enginebox malware infecteert voornamelijk via e-mailberichten die gebruik maken van social engineering trucs. De zogenoemde “phishing e-mails” regeling heeft betrekking op de coördinatie van de template-gebaseerde berichten die aan werknemers van de financiële instellingen worden verzonden. Als ze omgaan met elke embedded links of bijlagen een script wordt geactiveerd, die het virus bijvoorbeeld downloadt naar hun lokale computer.
De analisten ontdekte dat in het geval van Enginebox malware wordt dit gedaan met behulp van een VBS script dat een ander script downloadt vanuit een hacker gestuurde website. Dit start een vooraf gedefinieerde set van commando's die leiden tot de daadwerkelijke infectie. Deze verschillende stappen lange infectie route is ontworpen om anti-virus oplossingen verwarren in het geval ze beginnen om de scripts te traceren. Met deze sprong-type aanval bepaalde scanmachines kunnen worden omzeild.
De hackers proberen om de privileges van het gedownloade bestand te verhogen door middel van een zogenaamde exploit MS16-032 die werkt met vrijwel alle moderne versies van het Microsoft Windows-besturingssysteem. De criminelen gebruik maken van deze oude beveiligingsprobleem dat een fout maakt in de manier waarop de Secondary Logon-service aanvragen verwerkt.
EngineBox Malware Capabilities
De cyber security analisten dat de EngineBox malware ontdekt in staat zijn geweest om een diepgaand onderzoek naar de dreiging van de infectie te laten stromen geweest. Gebleken is dat ingekapseld is in meerdere lagen versleuteld. Dit betekent dat de meeste anti-virus oplossingen niet in staat zijn om actief of infecties identificeren. Zodra de slachtoffers het binaire bestand downloaden naar hun computer het virus motor wordt gestart.
Op het moment dat de hacker of strafrechtelijke collectieve daarachter is gericht op de grootste Braziliaanse financiële instellingen die zowel de private als de publieke banken omvat. Er is geen informatie beschikbaar over de identiteit van de ontwikkelaar of hackers die het gebruikt. Het is mogelijk dat de malware is ontwikkeld door ze vanuit het niets.
Als gevolg van de infectie de Enginebox malware kan de computers te infecteren met een reeks virus modules. Een van de belangrijkste onderdelen van de dreiging is zijn browser kaper functie. Dit deel van de code is ontworpen om te infiltreren de meest populaire web browsers, Inclusief: Mozilla Firefox, Safari, Internet Explorer, Google Chrome, Microsoft Edge of Opera. Dit wordt gedaan om de gebruikers om te leiden naar een-hacker gedefinieerd adres. Meestal belangrijke instellingen worden gewijzigd om deze wijziging te weerspiegelen: de standaard startpagina, nieuwe tabbladen pagina of zoekmachine.
De criminelen achter de kaper componenten hebben ze bedacht op een manier die effectief prive-informatie te extraheren. De lijst omvat opgeslagen cookies, bladwijzers, geschiedenis, instellingen, wachtwoorden, formulier gegevens en accountgegevens. Dit alles wordt doorgegeven aan de hackers via een beveiligde verbinding.
De Enginebox malware is ook in staat om te infiltreren andere client-programma's, zoals FTP-clients en remote desktop software. Omdat het virus richt zich op bedrijfsnetwerken is het zeer waarschijnlijk dat de criminelen referenties voor kritieke infrastructuur en databases kunnen krijgen.
Zodra de infecties zijn uitgevoerd op het doel machines de malware motor een netwerkverbinding met de hackers om hen te informeren over de succesvolle infiltratie. De volgende activiteiten worden uitgevoerd:
- De EngineBox malware oogsten gevoelige systeeminformatie. Dit geldt ook voor hardwarecomponenten, software-informatie en een lijst van lopende processen. Afhankelijk van de configuratie van de gevallen kan het virus bepaalde programma's te stoppen, Windows-instellingen te wijzigen, of genieten in soortgelijke acties.
- Wijziging van de essentiële instellingen kunnen worden gedaan door middel van het Windows-register, vooraf gedefinieerde opdrachten of anderszins.
- EngineBox is gevonden om een backdoor instantie die het mogelijk maakt de hackers om de controle over de computers te nemen instellen. Wanneer dit gebeurt de criminelen hebben een always-on mogelijkheid om bespioneren van de gebruikers activiteiten. Zij kunnen een keylogger te gebruiken om wachtwoorden te stelen uit allerlei web services - van e-mails naar online bankieren.
- Enginebox malware kan worden gebruikt om inbreken in andere computers in het netwerk met behulp van dezelfde hard-coded exploit code.
- De hackers achter de geïnfecteerde computers om extra malware op hen in te stellen.
EngineBox Malware Banking Attacks
Een van de functies die samenhangen met dit virus is dat het in staat is om effectief te oogsten geloofsbrieven van online bankdiensten. Dit wordt gedaan door gebruik te maken van verschillende methoden. Eén van hen is gebaseerd op het vermogen om slachtoffer acties in verband met een vooraf gedefinieerde lijst met sites te monitoren. Iedere keer dat een site in de lijst is toegankelijk het virus begint actief te zoeken naar patronen in verband met gebruikersnaam en wachtwoord combinaties.
De ontdekte monsters zijn in staat om het opzetten van een lokale proxy server dat al het verkeer omgeleid naar een hacker gecontroleerde C&C website. Een aantal van de verzamelde monsters demonstreren dat de malware wordt bestuurd via een IRC. Dit zorgt voor een zeer flexibele manier voor de criminele exploitanten om de machines te instrueren en de gegevens te ontvangen.
Dergelijk gedrag kan de crimineel operators te verhuren de geïnfecteerde machines of oogsten grote databases met informatie. De deskundigen waardeert de aanval zo ernstig als de virussen zijn bedoeld voor bedrijven en niet regelmatig eindgebruikers. De EngineBox malware is gemaakt op een zodanige wijze dat beveiligingssystemen omzeilt. Dit maakt het tot een zeer effectief wapen in de handen van een criminele collectieve.
Computergebruikers kunnen zich beschermen tegen mogelijke indringers en verwijder actieve infecties door het gebruik van een kwaliteit anti-spyware oplossing.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: