De L0rdix malware is een nieuw gedetecteerde hacking tool die wordt aangeboden op de hacker underground markten waardoor potentiële kopers om het te gebruiken in de aanval campagnes tegen Windows-computers. Het maakt het mogelijk individuele hackers en groepen om het te gebruiken op verschillende manieren als het beschikt over vele modules. Op dit moment een van de locaties het wordt voor ongeveer aangeboden 60 Amerikaanse dollars.
Iedereen kan een doelwit geworden van de L0rdix Malware
Informatie over L0rdix werd gepubliceerd door Ben Hunter in een security Report nadere details te geven over het gedrag. De malware is ontworpen om Windows-machines te infecteren en wordt momenteel aangeboden aan potentiële kopers op verschillende ondergrondse markten. Wat onderscheidt het van andere soortgelijke malware is dat het een combinatie van verschillende informatie en gegevens te stelen mogelijkheden samen met cryptogeld mijnbouw modules.
Het combineert op zich een hybride benadering botnet infectie - gecompromitteerde machines kunnen proberen andere machines infiltreren geautomatiseerd. Zodra een infectie bestaat de dreiging kan een te lanceren anti-detectiemechanisme. Deze actie gaat na of er een actieve virtuele machine, omgevingen of andere malware analyse-instrumenten. Hun motoren uitgeschakeld waarin elke analyse of detectie door hen tegen. Bijgewerkte versies kan deze benadering gebruiken om beveiligingssoftware te omzeilen, zoals anti-virus producten, firewalls en etc.
Zodra de bypass volledig is geweest van de motor zal contact opnemen met een vooraf geconfigureerde server en download de nieuwste updates en configuratiebestanden. Op dit punt zal de hacker operators de mogelijkheid om alle beschikbare modules in te zetten hebben op basis van hun eigen strategie. Alle geïnfecteerde machines worden geoogst voor een groep data die wordt gebruikt om een unieke machine-ID te genereren. Het is ook verstuurd naar de belangrijkste server ook. De informatie wordt naast verzonden screenshots van het gebruik van de computer. De verzamelde monsters in het gedetecteerde actie bleken de volgende gegevens kapen:
- Hardware Components informatie - Deze subset van informatie oogst informatie over de harde schijven, processor en grafische kaart model namen en specificaties en de geïnstalleerde geheugen. Prestatie-informatie is ook opgenomen, dit wordt gedaan door het uitvoeren van een performance test en het controleren van de resultaten.
- Operating System Information - De verzamelde gegevens worden gerelateerd aan de gebruiker privileges, besturingssysteem omstandigheden en gebruikersrechten.
- toepassingen gegevens - Gegevens van derden geïnstalleerde toepassingen en diensten wordt opgehaald. Dit geldt ook voor de aanwezigheid van anti-virus producten.
- Web Browser Gegevens - Als een van de ondersteunde webbrowsers wordt gevonden, zal hun processen te doden en gevoelige gegevens te extraheren, inbegrip van de opgeslagen cookies, voorkeuren en opgeslagen accounts.
Er wordt gespeculeerd dat de prestatie-indicatoren worden gekaapt om de levering van een optimale cryptogeld mijnwerker dat een conventionele effecten van infectie. Niet alleen een mijnwerker infectie wordt geïnitieerd, maar elk geïdentificeerd portemonnee bestanden zullen ook worden gekaapt.
L0rdix Malware Post-infectie Mogelijkheden
De analyse laat zien dat als de infectie kunnen de beveiliging van een computer te dringen is zal overgaan naar automatisch infecteren van andere systemen door infecteren verwijderbare opslagapparaten. Bijgewerkte versies kan een nog gevaarlijker aanpak door interactie met Windows-netwerk manager en op zoek voor toegankelijke aandelen. Wat volgt is een persistent installatie waardoor het zeer moeilijk voor actieve infecties te worden geïdentificeerd en verwijderd met behulp van handmatige methoden. De motor wordt automatisch scannen van de lokale configuratiebestanden en bewerken op een manier om zichzelf automatisch te starten wanneer de computer wordt aangezet.
Een botnet recruitment plaatsvindt na plaatsing van het virus die in het bijzonder zorgwekkend omdat zij de hackers halfautomatisch een groot netwerk van geïnfecteerde apparaten creëren. Dergelijke constructies zijn bijzonder bruikbaar voor het uitvoeren van complexe DDoS-aanvallen die kunnen nemen gehele bedrijven.
Vanwege het feit dat de geïdentificeerde L0rdix malware samples worden geassocieerd met een enkele aanval campagne we gaan ervan uit dat toekomstige aanvallen gaan nog meer modules en aanval scenario's.