De PsiXBot malware is een geavanceerde bedreiging die een aantal gevaarlijke modules die het onderscheiden van andere soortgelijke malware van dit type bevat. Onder hen is een sextortion chantage component die zeer effectief tegen de beoogde slachtoffers kunnen zijn. De veiligheidsanalyse van de opgevangen monsters laat zien dat het gedistribueerd via verschillende slagvaste campagnes, waaronder de Spelevo Exploit Kit.
Sextortion campagnes gelanceerd door PsiXBot Malware
De PsiXBot malware is een zeer gevaarlijke bedreiging in een lopende campagne campagne gemaakt door een onbekende hacken groep. Ze worden met behulp van een bijgewerkte versie van de malware motor en het gebruik van een geavanceerde infectie techniek. Een groot deel van de aanvallen uitvoeren met de Spelevo Exploit Kit. Dit is een hack tool waarmee de hackers om de massa e-mail campagnes op basis van de coördinatie en het creëren van nep phishing-sites.
Wat is gevaarlijk over dit specifieke dreiging is dat de nieuwere versies maken gebruik van een DNS Resolution die over een beveiligde verbinding HTTPS uitgevoerd. Dit betekent dat de lokale client module de verbinding zullen beschermen en imiteren veilig verkeer. Dit maakt het aanzienlijk moeilijker om het uitvoeren van infecties op te sporen. De adressen van de command and control servers zijn hardcoded en in de monsters en gecodeerd met behulp van een speciaal algoritme. Om geen bewustzijn niet te verhogen de servers zijn niet gesondeerd door een netwerk “ping” - dit is de meest voorkomende techniek die gebruikt wordt om te controleren of een server is actief. Zodra de infectie wordt uitgevoerd en de hacker gecontroleerde server verbinding op initiatief de lokale client zal de externe aanvallers de beschikbare modules triggeren. In de laatste paar versies van de volgende zijn gevonden:
Download en Execution, uitvoeren, Krijg geïnstalleerde software, Krijg Outlook Geloofsbrieven, Krijg lijst met actieve processen, Krijg Stealler Cookies, Krijg Stealler Wachtwoorden, Self-deletie, Start Complex Module, Start cryptogeld Module, Start FG Module, Start Keylogger, Start nieuw complex Module, Start Porn Module en de Start Scheduler Module.
The Porn Module is een speciaal ontworpen component waarmee de gebruikers activiteit zal controleren en te zien of ze toegang hebben tot elke porno gerelateerde sites of inhoud. Dit wordt gedaan door het onderzoeken van de gebruikers activiteit en te vergelijken met een ingebouwd woordenboek van termen. Dit zal leiden tot een activeren van opname gebruiker (zowel audio als video). De verzamelde gegevens zullen worden verstuurd naar de hackers. Met het beschikbare materiaal zullen de criminelen de slachtoffers voor financieel gewin chanteren.
Deze aanvallen zijn beoordeeld als zeer gevaarlijk en alle computergebruikers worden aangespoord om zichzelf te beschermen door het gebruik van geavanceerde anti-malware-oplossingen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: