Casa > cibernético Notícias > Malware GZipDe criptografado distribui backdoor Metasploit
CYBER NEWS

Criptografado GZipDe Malware Distributes Metasploit Backdoor

Uma parte nova de, o que parece ser, altamente malwares direcionados foi descoberto por pesquisadores da AlienVault. A nova cepa de malware, apelidado GzipDe e, provavelmente, utilizados em campanhas de ciber-espionagem, usa um artigo sobre a próxima Cúpula da Organização de Cooperação de Xangai.

Mais sobre a operação de malware GzipDe

Cerca de uma semana atrás, pesquisadores detectaram um novo documento malicioso direcionado a esta área. Pelo visto, o documento incluiu um pedaço de texto retirado do relatório como um engodo.

Story relacionado: Captcha plug-in para o WordPress verificou-se conter uma porta

AlienVault descobriu um documento do Word com armadilhas eletrônicas no VirusTotal, que foi publicado por um usuário do Afeganistão. Foi assim que eles descobriram o malware.

O documento bloqueado acima mencionado (.arquivo doc) é a primeira etapa de uma infecção em vários estágios em que vários servidores e artefatos são implantados. O estágio final da operação maliciosa parece ser a instalação de um backdoor Metasploit. Contudo, isso não é tão interessante quanto o downloader .NET, que usa um método de criptografia personalizado para ofuscar a memória do processo e evitar a detecção de antivírus.

O documento malicioso induziu os usuários a habilitar macros, que uma vez habilitado executou um script Visual Basic. Em seguida, o script executou algum código PowerShell, que posteriormente baixou um executável PE32. O processo terminou com o malware real - GZipDe - os pesquisadores relatado.




GZipDe parece estar codificado em .NET, e é projetado para usar “um método de criptografia personalizado para ofuscar a memória do processo e evitar a detecção de antivírus.” Uma vez que o objetivo inicial do GzipDe é atuar como um downloader, isso significa que o malware irá baixar uma peça mais perigosa de um servidor remoto. Contudo, durante a investigação dos pesquisadores, o servidor remoto estava acabado, o que normalmente encerraria a análise. Contudo, acabou Shodan, o motor de pesquisa IoT, indexou o servidor e até o registrou servindo a uma carga útil Metasploit.

O servidor, 175.194.42[.]8, entrega uma carga útil Metasploit. Ele contém o código do shell para contornar a detecção do sistema (uma vez que parece ter um cabeçalho DOS válido) e uma carga útil do medidor – uma porta dos fundos capaz. Por exemplo, ele pode coletar informações do sistema e entrar em contato com o servidor de comando e controle para receber outros comandos.

além do que, além do mais, o shellcode carrega toda a DLL na memória, permitindo assim que ele opere enquanto nenhuma informação é gravada no disco. Esta operação é conhecida como injeção reflexiva de DLL. Deste ponto, o invasor pode transmitir qualquer outra carga útil para adquirir privilégios elevados e se mover dentro da rede local, os pesquisadores concluíram.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo