Ongedierte Complex Malware en Rat afgezet tegen Oekraïne
NIEUWS

Ongedierte Complex Malware en Rat afgezet tegen Oekraïne

1 Star2 Stars3 Stars4 Stars5 Stars (Nog geen beoordeling)
Loading ...

image Vermin virus

Veiligheid analisten ontdekte een nieuwe aanval campagne die is gericht op Oekraïne het dragen van een gevaarlijk nieuw wapen - de Vermin malware. Volgens de vrijgegeven rapporten is dit een zwaar bijgewerkte versie van de Quasar Trojaans paard dat verder is aangepast met aangepaste code. De gevaarlijke code kan de criminelen om de volledige controle over de gecompromitteerde apparaten inhalen.

The Vermin Malware is losgelaten

Een recente aanval campagne tegen apparaten die zich in Oekraïne heeft geleid tot de ontdekking van een gevaarlijke nieuwe malware genaamd Vermin. De onderzoekers die de infecties waargenomen wijzen erop dat het een splitsing van de Quasar Trojaans paard dat een veel code verbeteringen en aangepaste toevoegingen bevat. Dit maakt het een zeer geducht wapen vanwege het feit dat het niet direct wordt geassocieerd met Quasar gedragspatronen en originele malware engine. De gerichte aanval die is ingesteld tegen het land is gekoppeld aan twee case scenario overwogen. De eerste heeft betrekking op het feit dat het mogelijk is dat de hacker operators vooraf geconfigureerd aanslag met een kant en klare lijst met doelen. Het tweede voorstel wordt toegeschreven aan het feit dat de motor gedetailleerde informatie over de regionale instellingen kan halen. Met behulp van de verkregen informatie de malware motor kan zichzelf activeren wanneer zij van mening dat de gecompromitteerde apparaten levensvatbaar. In andere gevallen kan het zich verwijderen om detectie te vermijden.

De aanslagen worden voornamelijk geïnitieerd via berichten verspreid via sociale netwerken, een van de belangrijkste tactiek was om verschillende valse Twitter-profielen en een link om gebruik te maken geïnfecteerde documenten. Ze kunnen van verschillend type zijn waaronder: rich tekstdocumenten, presentaties en spreadsheets. De criminelen erachter gebruik social engineering tactiek dat de slachtoffers te dwingen tot interactie met de bestanden. Ze zijn gemaakt om te verschijnen als documenten gemaakt door het Ministerie van Defensie van het land. De bestanden bevatten een decoy zelfuitpakkend uitvoerbaar waarin de malware code die leidt naar de infecties activeert.

Verwante Story: malware Trends 2018: Hoe is het Threat Landscape Shaping?

Vermin Malware Infiltratie Tactics - De Malware Process

Zodra de infecties zijn begonnen met een beveiligde verbinding met een hacker gecontroleerde server is gevestigd. Het interessante is dat de exploitanten gebruik maken van de SOAP-protocol in plaats van de gemeenschappelijke HTTP. Het wordt vooral gebruikt om gestructureerde informatie en één van de redenen waarom het de voorkeur uitwisseling is dat geautomatiseerde beveiligingssoftware meestal niet het protocol controleren aangezien het niet kan worden opgenomen in de standaard handtekeningen. Een gedetailleerde analyse blijkt dat de lopende acties hebben verschillende aangepaste stammen. Allen zijn geconstrueerd gebruikmakend van variabele parameters die verwijdering moeilijk in het geval dat meervoudige infecties targeten hetzelfde netwerk kan.

De eerste controles die worden gedaan na de malware infecteert zijn gerelateerd aan de regionale instellingen. De malware motor is in staat om een ​​te creëren gedetailleerd profiel apparaten van het slachtoffer. Dit omvat zowel anonieme statistieken en persoonlijk identificeerbare gegevens. De eerste categorie heeft betrekking op hardware-informatie en systeemvariabelen. Het wordt voornamelijk gebruikt door de hacker operators om te beoordelen hoe effectief de aanvallen zijn. De tweede categorie bestaat uit gegevens die rechtstreeks de identiteit van het slachtoffer kan blootstellen. Het bestaat uit strings die gerelateerd zijn aan hun naam, adres, telefoon nummer, geolocatie, voorkeuren en accountgegevens.

De specialisten geven aan dat de Vermin code kijkt uit naar vier specifieke invoertalen: ru – Russisch, uk – Oekraïens, ru-ru – Russische en uk-ua – Oekraïens. Als een van de controles gaat de infectie blijft verder. De vervolgstappen zijn gerelateerd aan het downloaden van aanvullende malware componenten. Ze zijn in gecodeerde vorm en ontsleuteld on-the-fly evenals snel daarna geëxecuteerd. In deze initialisatiefase kan de hackers maken een stealth bescherming die kunnen omzeilen eventuele geconstateerde security services. Dit omvat sandboxes, virtuele machines en debuggen omgevingen. De malware motor kan omzeilen of te verwijderen in overeenstemming met de ingebouwde instructies. In sommige gevallen indien hij vaststelt dat deze niet kan doen kan zich verwijderen om detectie te vermijden.

In aanvulling op al het andere ontdekt de analisten dat de dreiging installeert een keylogger. Het is ingebed in de verschillende malware processen en vermomd als een Adobe Printer dienst. Het proces kan verzamelen verschillende soorten informatie - alle toetsaanslagen, muisbewegingen of individuele interacties zoals gedefinieerd door de exploitanten. De verzamelde informatie wordt versleuteld en vervolgens opgeslagen in een map locatie:

%appdata%\Microsoft\Proof\Settings.{ED7BA470-8E54-465E-825C-99712043E01C}\Profiles\.

Elke individuele log bestand is opgenomen in de volgende indeling: "{0:dd-MM-yyyy}.tekst".

Vermin Malware Capabilities

Zodra de Vermin malware toegang heeft tot de computer en is het systeem processen geïnfiltreerd door het aansluiten van hen en het creëren van een eigen threads de modules maken de criminelen om een ​​verscheidenheid van commando's te lanceren. Dit gebeurt met behulp van speciaal beveiligde netwerkverbinding via de opgegeven SOAP protocol. De volledige lijst bevat de volgende opties:

  • ArchiveAndSplit - Archief Target Bestanden en Split Them in de delen
  • CancelDownloadFile - annuleren Een Running File Transfer
  • CancelUploadFile - Annuleer een Running uploaden Process
  • CheckIfProcessIsRunning - Controleert of een Target proces wordt uitgevoerd.
  • CheckIfTaskIsRunning - vragen van de System voor een specifiek lopend proces.
  • Map aanmaken - Maakt een nieuwe map in de opgegeven locatie
  • Verwijder bestanden - Verwijdert een Target File.
  • Verwijder map - Commando's van de Malware om een ​​Set Verwijderen van map.
  • Download bestand - Haalt een bestand vanaf een externe locatie.
  • GetMonitors - Controles voor geen apps die kunnen worden controle van het systeem.
  • GetProcesses - Haalt de lijst van actieve processen.
  • KillProcess - stopt Processen.
  • ReadDirectory - Leest de inhoud van het Target Directory.
  • Hernoem bestand - De naam Target Files.
  • RunKeyLogger - Voert de Keylogger Module.
  • SetMicVolume - Hiermee kunt u de microfoon Volume.
  • ShellExec - Voert Mits Commands.
  • Home Audio Capture - Maakt de Audio Surveillance.
  • StartCaptureScreen - Maakt de screenshot Module.
  • StopAudioCapture - schakelt de Audio Surveillance.
  • StopCaptureScreen - Schakelt de screenshot Module.
  • UpdateBot - Werkt de Running Vermin virus module.
  • Upload bestand - Brengt een bestand naar de Command Server.

De volgende domeinen zijn gevonden te worden gerelateerd aan de aanval campagnes tot nu toe:

akamaicdn[.]ru
cdnakamai[.]ru
www.akamaicdn[.]ru
www.akamainet066[.]info
www.akamainet023[.]info
www.akamainet021[.]info
akamainet023[.]info
akamainet022[.]info
akamainet021[.]info
www.akamainet022[.]info
akamainet066[.]info
akamainet024[.]info
www.cdnakamai[.]ru
notifymail[.]ru
www.notifymail[.]ru
mailukr[.]netto
tech-adobe.dyndns[.]biz
www.mailukr[.]netto
185.158.153[.]222
94.158.47[.]228
195.78.105[.]23
94.158.46[.]251
188.227.75[.]189
212.116.121[.]46
185.125.46[.]24
5.200.53[.]181

Vermin Virusverwijderingsprogramma

Het complex infectie tactieken die worden geassocieerd met de Vermin virus toont aan dat het alleen kan worden verwijderd met behulp van een kwaliteit anti-spyware oplossing. Zodra de besmettingen hebben plaatsgevonden een zeer grondige systeemanalyse volgt dat geeft de malware engine gedetailleerde informatie over hoe de gecompromitteerde machine is geconfigureerd. Hierdoor kan de Trojan om alle belangrijke componenten van het besturingssysteem beïnvloeden. Als zodanig is de hacker operators gevoelige bestanden kan afdichten, spion over de slachtoffers en het gebruik van de geoogste gegevens voor chantage en fraude doeleinden.

We raden alle slachtoffers om een ​​gratis systeem scan uit te voeren om ervoor te zorgen dat ze veilig zijn met behulp van een betrouwbare beveiligingstoepassing. De oplossing is ook geschikt voor de bescherming van de computers van alle inkomende aanvallen.

Download

Malware Removal Tool


Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten - Website

Volg mij:
TjilpenGoogle Plus

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...