O malware L0rdix é uma ferramenta de hacking recentemente detectado que está sendo oferecido nos mercados subterrâneos de hackers, permitindo que potenciais compradores para usá-lo em campanhas de ataque contra computadores Windows. Ele permite que hackers individuais e grupos o usem de várias maneiras, pois possui muitos módulos. No momento em um dos locais que está sendo oferecido por cerca de 60 Dólares.
Qualquer um pode se tornar um alvo do L0rdix Malware
Informações sobre L0rdix foi publicado por Ben Hunter em um relatório de segurança dar mais detalhes sobre o assunto de comportamento. O malware é projetado para infectar máquinas com Windows e é oferecido atualmente aos potenciais compradores em vários mercados subterrâneos. O que o diferencia de outros tipos de malware semelhante é que ele combina várias informações e dados roubar capacidades juntamente com módulos de mineração criptomoeda.
Combina-se em uma abordagem de híbrido infecção rede de bots - máquinas comprometidas pode tentar infiltrar outras máquinas de uma forma automatizada. Tão logo como a infecção é feito a ameaça pode lançar um mecanismo anti-detecção. Esta ação irá verificar se há alguma máquina virtual ativa, ambientes ou outras ferramentas de análise de malware. Seus motores será desativado que irá combater qualquer análise ou detecção por eles. Versões atualizadas pode utilizar esta abordagem de software de segurança de desvio, tais como produtos anti-vírus, firewalls e etc..
Uma vez que o desvio tenha sido completa o motor entrará em contato com um servidor pré-configurado e baixar as últimas atualizações e arquivos de configuração. Neste ponto, os operadores de hackers terá a capacidade de implementar todos os módulos disponíveis de acordo com sua própria estratégia. Todas as máquinas infectadas vai ser colhido de um grupo de dados que é usado para gerar uma ID única máquina. Ele também é enviado para o servidor principal, bem. A informação é enviada ao lado screenshots do uso do computador. As amostras recolhidas na campanha detectados, foram encontrados para sequestrar os seguintes dados:
- Hardware Informação Components - Este subconjunto de informações colheitas de informação sobre as unidades de disco rígido, nomes modelo do processador e placa gráfica e especificações e a memória instalada. As informações de desempenho também está incluído, isto é feito através da execução de um teste de desempenho e verificar os resultados.
- Operating System Information - Os dados coletados são relacionadas com os privilégios do usuário, as condições de funcionamento do sistema e privilégios de usuário.
- aplicações de dados - Dados de aplicativos de terceiros e serviços instalados é recuperado. Isto inclui a presença de produtos anti-vírus.
- Web Browser de Dados - Se um dos navegadores suportados é encontrado ele vai matar seus processos e extrair dados sensíveis, incluindo cookies salvos, preferências e contas salvos.
Especula-se que as métricas de desempenho são sequestrados, a fim de otimizar a entrega de um mineiro criptomoeda que é um dos efeitos comuns da infecção. Não só uma infecção mineiro é iniciada, mas os arquivos de carteira identificados serão sequestrado bem.
Capacidades L0rdix Malware pós-infecção
A análise mostra que uma vez que a infecção tenha sido capaz de penetrar a segurança de um único computador que vai avançar para infectar automaticamente outros hosts por infectando dispositivos de armazenamento removível. Versões atualizadas pode usar uma abordagem ainda mais perigoso, interagindo com gerenciador de rede Windows e olhando para fora para ações acessíveis. O que se segue é uma instalação persistente que faz com que seja muito duro para infecções activas a ser identificados e removidos utilizando métodos manuais. O motor vai verificar automaticamente os arquivos de configuração e editá-los local em uma maneira de iniciar-se automaticamente quando o computador está ligado.
UMA recrutamento botnet toma lugar na sequência da aplicação do referido vírus que é particularmente preocupante, uma vez que permite a hackers para semi-automaticamente criar uma grande rede de dispositivos infectados. Tais construções são particularmente úteis para a realização de complexos ataques DDoS que pode tirar empresas inteiras.
Devido ao fato de que as amostras de malware L0rdix identificados estão associados a uma única campanha ataque presumimos que ataques futuros vão usar ainda mais módulos e cenários de ataque.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: