De InnfiRAT Malware is een nieuw ontdekte bedreiging, die een verfijnde cryptogeld diefstal module bevat. Het is geschreven met behulp van het .NET framework en richt zich op Windows-machines in het bijzonder.
Cryptogeld Houders Under Attack By The InnfiRAT Malware
Veiligheid onderzoekers hebben een nieuwe aanval campagne die een bedreiging genaamd ontdekt InnfiRAT malware. Het wordt verspreid door een onbekende hacken collectieve, gezien het feit dat de infiltraties worden gekwalificeerd als geavanceerde verwachten we dat ze zeer ervaren. De malware kan worden verspreid met behulp van tal van methoden, zoals de volgende:
- phishing Strategies - De criminelen kunnen sturen e-mailberichten en orkestreren websites die web services en bedrijven imiteren. Als ze zijn interactie met hen de respectieve malware zal worden ingezet.
- payload Carriers - Het virus installatie code kan in app installateurs of documenten worden geplaatst (scripts). Een ander voorbeeld is het creëren van plugins voor de meest populaire web browsers.
In een van de gevangen monsters de analisten hebben vastgesteld dat de kwaadaardige code wordt gevonden in een fake NVIDIA installatiebestand van het stuurprogramma. Bij uitvoering van de desbetreffende sequentie wordt uitgevoerd. Het begint met een bestand controle die tot doel heeft het al dan niet de malware app wordt uitgevoerd vanaf een vooraf aangewezen locatie. Het zal worden gebruikt om het systeem te infiltreren en te implementeren ze in het systeem plaatsen om het moeilijker op te sporen. Nadat het bestand is in hun respectievelijke locatie is geplaatst zal het de belangrijkste motor te decoderen en start. Wat is bijzonder interessant over het is dat het versleuteld.
Aan het begin van het virus inzet een van de eerste stappen die zij doet is de lancering van een security bypass. Het zal beginnen om het geheugen en de harde schijf inhoud te analyseren en te achterhalen of er sprake is van lopende security toepassingen of diensten die de juiste virus infectie kan blokkeren: virtual machine hosts, sandbox-omgevingen, anti-virus programma's, firewalls en detectiesystemen.
Als geen van deze zijn te vinden op een bepaald systeem de infectie zal blijven. De volgende stap in het infectieproces is de informatie verzamelen - het zal een lange lijst van de machine informatie en gebruikersgegevens te extraheren. De lijst van de hardware informatie die wordt verkregen is het volgende:
fabrikant van het apparaat, onderschrift, naam, processor identiteitsinformatie, aantal aders, L2-cachegeheugen, L3 cache grootte en socket aanduiding.
Naast gegevens over de status van het netwerk en de geolocatie-informatie wordt ook gekaapt: het IP-adres van de host-systeem, evenals stad, regio, land, Postcode. Als de machine is een onderdeel van een organisatie of bedrijf dat ook zal worden getoond. De volgende stap zal zijn om een te beginnen Trojan module die een veilige verbinding met een hacker gecontroleerde server zal vestigen en laat de crimineel controllers om hun machines te kapen.
InnfiRAT Malware Trojan Operations
De Trojan activiteiten omvatten het vermogen om te injecteren in de meest populaire webbrowsers en kapen hun activiteiten, evenals hen te doden:
- Google Chrome
- Generic Browser
- Mozilla Firefox
- Opera
- vriend
- komeet
- Toorts
- Orbitum
Het Trojaanse paard te kunnen bereiken de externe aanvallers te bespioneren de slachtoffers in real-time en dood de browservensters. Het stelen van browser cookies en de geschiedenis laat de criminelen om te controleren of de computer-gebruikers gebruiken cryptogeld op enigerlei wijze: opslaan, overdracht en andere activiteiten.
Het kan ook controleren of het geheugen voor alle lopende processen en nieuwe portefeuilles te creëren in de bijbehorende toepassingen. De apps zullen portefeuilles te creëren in hen en zet ze als standaard. Dit betekent dat de activiteiten die worden uitgevoerd door de gebruikers meestal zal hen beïnvloeden. Alle interactie met de gebruiker kan ook worden doorgestuurd naar deze portefeuille. Als gevolg hiervan zullen de slachtoffers niet van bewust dat geen geld transfers tot hen gericht zal worden overgedragen aan de hackers.