Stilte is de naam van een nieuwe Trojan (en het hacken groep daarachter), in september ontdekt door Kaspersky Lab onderzoekers. De gerichte aanval speelt zich af tegen de financiële instellingen, en op dit punt de slachtoffers zijn voornamelijk Russische banken, als organisaties in Maleisië en Armenië.
bedreiging Samenvatting
Naam | Silence Trojan |
Type | Banking Trojan |
Korte Omschrijving | Het Trojaanse paard wint persistent toegang tot interne banknetwerken, het maken van video-opnames van de dagelijkse activiteiten van de werknemer machines van de bank. |
Symptomen | Silence Trojan belangrijkste functie is de mogelijkheid om herhaalde screenshots te nemen, genomen op kleine intervallen, van het bureaublad van het slachtoffer. Het is gebouwd met het idee ongemerkt op gerichte systemen te blijven. |
Distributie Methode | Spear-phishing e-mails |
Detection Tool |
Zien of je systeem is getroffen door malware
Download
Malware Removal Tool
|
Gebruikerservaring | Word lid van onze Forum om te bespreken Silence Trojan. |
Data Recovery Tool | Windows Data Recovery door Stellar Phoenix kennisgeving! Dit product scant uw schijf sectoren om verloren bestanden te herstellen en het kan niet herstellen 100% van de gecodeerde bestanden, maar slechts weinigen van hen, afhankelijk van de situatie en of u uw schijf hebt geformatteerd. |
In deze aanvallen, Silence van de auteurs werden met behulp van een zeer efficiënte hacking techniek - het verkrijgen van blijvende toegang tot interne banknetwerken, het maken van video-opnames van de dagelijkse activiteiten van de werknemer machines van de bank, dus kennis over hoe de software wordt gebruikt verwerven. Deze kennis werd later toegepast om zo veel geld te stelen mogelijk.
Het vermelden waard is dat de onderzoekers eerder deze techniek hebben waargenomen in Carbanak gerichte operaties. Zoals in het oorspronkelijke rapport, de infectie vector is een spear phishing e-mail met een schadelijke bijlage. Een opmerkelijke etappe van de Stilte aanval is dat de cybercriminelen al de bancaire infrastructuur in orde had gecompromitteerd om hun spear phishing e-mails van de adressen van echte medewerkers van de bank te sturen, zodat ze als onverdacht kijken mogelijk om toekomstige slachtoffers.
Schadelijke .chm Attachment Een deel van campagne Silence Trojan
De gedetecteerde in deze nieuwste campagnes attachment is geïdentificeerd als een Microsoft Compiled HTML Help bestand. Dit is een Microsoft eigen online help formaat dat bestaat uit een verzameling van HTML-pagina's, indexeren en andere navigatie-instrumenten, onderzoekers verklaren. Deze bestanden worden gecomprimeerd en ingezet in een binair formaat met de CHM (gecompileerd HTML) uitbreiding. Ze zijn zeer interactief en kan een reeks van technologieën zoals JavaScript uit te voeren. De bestanden kunnen een slachtoffer in de richting van een externe URL redirect na simpelweg het openen van de CHM.
Zodra het hulpstuk wordt geopend door het slachtoffer, de ingesloten htm inhoudsbestand (“Start.htm”) wordt uitgevoerd. Dit bestand bevat JavaScript, en zijn doel is om te downloaden en uit te voeren een andere fase van een hardcoded URL.
Kort gezegd, de-spear phishing e-mails gestuurd om slachtoffers, ze bevatten een CHM (gecompileerd HTML) bestandsbijlage. Na het downloaden en het openen van de bijlage, CHM bestand wordt JavaScript uit te voeren commando set naar een kwaadaardige payload bekend als een dropper downloaden en te installeren. In het geval van de Stilte Trojan aanval, deze payload is geïdentificeerd als een Win32 uitvoerbare ingezet om data op geïnfecteerde hosts te verzamelen. De verzamelde gegevens worden doorgaans verzonden naar de aanvallers C&C-servers.
In een later stadium, wanneer een gerichte machine wordt geschetst als waardevol voor de operatie, de aanvallers stuur dan een tweede fase payload - the Silence Trojan zelf.
Silence Trojan - Technische specificaties
Silence Trojan belangrijkste functie is de mogelijkheid om herhaalde screenshots te nemen, genomen op kleine intervallen, van het bureaublad van het slachtoffer. De afbeeldingen worden vervolgens geüpload naar de C&C server waar een real-time pseudo-videostream wordt gecreëerd.
Waarom zijn de Trojan de auteurs met behulp van screenshots in plaats van een video? Zij kunnen deze manier van opnemen van de activiteiten van de werknemers, omdat het gebruik maakt van minder computer resources en helpt de Trojaanse onopgemerkt kunnen blijven hebben gekozen. Dit kan de reden dat de operatie wordt Silence genoemd worden.
Zodra alle gegevens worden verzameld, de cybercriminelen kan herziening van de screenshots om waardevolle gegevens, zoals het vinden van URL's van interne money management systemen te lokaliseren, om hun bedrijf voort te zetten.
De laatste fase van de operatie is opgebouwd rond de exploitatie van de legitieme Windows beheertools om de Trojan zich voordoen in de laatste fase. Deze techniek is eerder gebruikt door Carbanak.
De beste manier om te beschermen tegen gerichte aanvallen op financiële instellingen is om geavanceerde detectie mogelijkheden gevonden in een oplossing die alle soorten van afwijkingen op een dieper niveau kan detecteren en ook onder de loep verdachte bestanden te implementeren, onderzoekers zeggen.
SpyHunter scanner vindt u alleen de dreiging. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter