Een onbekende hacken groep, die wordt verdacht afkomstig te zijn van China is gevonden om een massale aanval wereldwijd te lanceren met behulp van een Trojanized versie van de Verteller dienst met de PcShare malware. Dit is vooral gevaarlijk als de lopende campagne richt zich op technologische bedrijven en bedrijfsnetwerken. Het werkt door het vervangen van de legitieme Windows-service die deel uitmaakt van de Toegankelijkheid suite.
Geïnfecteerde Verteller Windows Service With The PcShare Trojan wereldwijd is geïntroduceerd
Een security rapport geeft aan dat een onbekende hacking collectief, vermoedelijk uit China, is de lancering van een gevaarlijke malware genaamd de PcShare Trojan die is ingesteld om netwerken te infecteren over de hele wereld. Volgens de onderzoekers die de dreiging ontdekte de malware maakt gebruik van de ongewone tactiek van het vervangen van de legitieme dienst van het Windows-besturingssysteem genaamd Verteller dat het hoofdscherm lezen applicatie.
Het exacte mechanisme van binnendringen van de PcShare Trojan is om de beoogde gastheer infecteren en vervolgens de plaats van de legitieme Verteller service met een kwaadaardige versie. De exacte verdeling van de Trojan wordt vooral gedaan via e-mail phishing campagnes - de beoogde slachtoffers worden berichten die zijn ontworpen om regelmatige degenen die via bekende bedrijven of diensten aan hen worden verzonden imiteren ontvangen. Het alternatief is om nep hun homepages, landing pages of login aanwijzingen en hosten ze op gelijk klinkende domeinnamen. Ze kunnen ook beveiligingscertificaten die kan worden vervalst, gestolen of zelf-ondertekend om de bezoekers geloven dat ze een bezoek aan een veilige site.
Interessant de PcShare Trojan lader wordt geleverd door een zijdelings geladen gewettigd NVIDIA DLL die deel uitmaakt van de grafische kaart voor Windows. Het doel is om een start te decoderen de kwaadaardige lading die de tweede fase van de Trojan. Dit gebeurt via een geheugen injectie - de eigenlijke binair bestand wordt nooit laten vallen op de harde schijf van het slachtoffer. Dit gebeurt parallel met een anti-sandboxing techniek die is ontworpen om te omzeilen of geheel verwijderen van de geïnstalleerde beveiligingsproducten en -diensten. Dit wordt vooral gedaan tegen toepassingen zoals anti-virus programma's, sandbox-omgevingen, firewalls, intrusiedetectiesystemen en etc.
PcShare Trojan Capabilities
Zodra de Trojan wordt ingeleid op het slachtoffer systeem zal leiden tot tal malware modules die worden uitgevoerd zijn. De meeste van hen zijn gebaseerd op open-source malware die in de aanval campagne gewijzigd. De belangrijkste Trojan zal een beveiligde verbinding naar een hacker gecontroleerde server waardoor de criminelen om de controle over de getroffen machines te nemen vast te stellen. Dit maakt het ook mogelijk dat ze waardevolle gegevens en informatie te stelen, evenals installeren andere bedreigingen evenals.
Wanneer de legitieme Verteller dienst wordt vervangen door de kwaadaardige één zal het administratieve rechten te krijgen waardoor zij toegang tot alle belangrijke systeem onderdelen te krijgen. De PcShare Trojan en de ingezette kwaadaardige modules omvatten de installatie van een keylogger die actief de gebruiker toetsenbordinvoer op mogelijke referenties zoals wachtwoorden. Indien dergelijke snaren worden gedetecteerd worden ze doorgestuurd naar de criminelen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: