O InnfiRAT Malware é uma ameaça recém-descoberto que inclui um módulo de roubo criptomoeda sofisticado. Ele é escrito usando o framework .NET e tem como alvo máquinas Windows em particular.
Titulares criptomoeda sob ataque do InnfiRAT Malware
Pesquisadores de segurança descobriram uma nova campanha de ataque carregando uma ameaça chamada malwares InnfiRAT. Ele está sendo distribuído por um coletivo de hackers desconhecido, dado o fato de que as infiltrações são classificados como avançado prevemos que eles são muito experientes. O software malicioso podem ser distribuídos usando vários métodos, como a seguir:
- Estratégias de phishing - Os criminosos podem enviar mensagens de e-mail e web sites orquestrar que os serviços web Representar e empresas. Sempre que eles são interagiu com eles o respectivo malwares será implantado.
- payload Carriers - O código de instalação vírus pode ser colocado em instaladores de aplicativos ou documentos (como scripts). Outro exemplo é a criação de plugins para a maioria dos browsers populares.
Em uma das amostras captadas os analistas identificaram que o código malicioso é encontrado em uma falso arquivo de instalação do driver NVIDIA. Quando executar a seqüência relevante será executado. Ela começa com uma verificação de arquivo que procura ou não o aplicativo malware é executado a partir de uma localização predesignated. Ele será usado para se infiltrar no sistema e implantá-los em locais do sistema para torná-lo mais difícil de detectar. Depois que o arquivo foi colocado em seu respectivo local que vai decodificar o motor principal e iniciá-lo. O que é particularmente interessante sobre ele é que ele é criptografado.
No início da implantação de um vírus dos primeiros passos que ele faz é o lançamento de um ignorar a segurança. Ele vai começar a analisar o conteúdo da memória e do disco rígido e descobrir se existem quaisquer aplicações de segurança em execução ou serviços que podem bloquear a infecção pelo vírus adequada: hosts de máquinas virtuais, ambientes sandbox, programas anti-vírus, firewalls e sistemas de detecção de intrusão.
Se nenhum destes são encontrados em um determinado sistema a infecção continuará. O passo seguinte no processo de infecção é a obtendo informações - ele irá extrair uma longa lista de dados de informação da máquina e do usuário. A lista de informações de hardware que é adquirido é o seguinte:
fabricante do dispositivo, rubrica, nome, informações de identidade processador, Número de núcleos, Tamanho do cache L2, Tamanho do cache L3 e designação de soquete.
Nos dados de adição sobre o estado da rede e as informações de geolocalização também é sequestrado: o endereço IP do sistema host, bem como da cidade, região, país, Código postal. Se a máquina é parte de uma organização ou empresa que também será exibido. O próximo passo será o de iniciar um módulo Trojan que irá estabelecer uma conexão segura a um servidor controlado por hackers e permitir que os controladores criminosas para sequestrar suas máquinas.
InnfiRAT Malware Operações Trojan
As operações de Tróia incluem a capacidade de injetar nas navegadores web mais populares e seqüestrar suas operações, bem como matá-los:
- Google Chrome
- Navegador genérico
- Mozilla Firefox
- Ópera
- Amigo
- cometa
- Tocha
- Orbitum
As operações de Tróia permitir que os atacantes remotos para espionar as vítimas em tempo real e matar as janelas do navegador. O roubo de cookies do navegador e da história permite que os criminosos para verificar se há ou não os usuários de computador usam criptomoeda de qualquer maneira: armazenando, transferência e outras atividades.
Ele também pode verificar a memória para todos os processos em execução e criar novas carteiras nas respectivas aplicações. Os aplicativos criará carteiras neles e defini-las como padrão. Isto significa que as operações que são feitas pelos usuários normalmente irá afetá-los. Toda a interação do usuário também pode ser redirecionado para esta carteira. Como consequência as vítimas não estará ciente de que quaisquer transferências de dinheiro dirigidas a eles será entregue aos hackers.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: