Casa > cibernético Notícias > Bot latente – a porta traseira avançada com recursos furtivos
CYBER NEWS

Osso latente – a porta traseira avançada com recursos furtivos

malicioso-ameaça-sensorstechforumOs especialistas em segurança certamente encontrarão mais e mais backdoors e botnets, pois estamos testemunhando um aumento na taxa de infecção de ransomware e APTs (ameaças persistentes avançadas).

Interessantemente suficiente, backdoors e botnets recém-detectados podem não ser novos. Por quê? Essas ameaças podem passar despercebidas por meses e até anos. Se uma ameaça for descoberta em 2015, não significa necessariamente que a ameaça foi criada recentemente.

Melhore a sua educação em segurança cibernética:
Backdoors APT controlados por um grupo forte
Nemesis Bootkit colhe dados financeiros
Por que você deve temer o botnet Ponmocop

Um dos últimos backdoors descobertos provou ser bastante furtivo. Denominado Latentbot, a ameaça persistente existe pelo menos desde 2013. Pesquisadores da FireEye revelaram recentemente que o Latentbot tem afetado vítimas nos Estados Unidos, Reino Unido, Canadá, Brasil, Peru, Polônia, Cingapura, Coreia do Sul, Emirados Árabes Unidos.
Suas vítimas são principalmente nos setores financeiro e de seguros. Contudo, outros setores também foram comprometidos.

Capacidades de backdoor do Latentbot

As técnicas de distribuição empregadas pelo dropper de malware podem não ser inovadoras, mas a carga útil do ataque (Osso latente) definitivamente chamou a atenção dos pesquisadores. Não só implementa várias camadas de ofuscação, mas também tem um mecanismo de exfiltração exclusivo.

Esses são os recursos do Latentbot, resumido pela equipe de pesquisa FireEye:

1. Múltiplas camadas de ofuscação
2. Strings descriptografadas na memória são removidas após serem usadas
3. Ocultando aplicativos em uma área de trabalho diferente
4. Capacidade de limpeza MBR
5. Semelhanças de Ransomlock, como a capacidade de bloquear a área de trabalho
6. Conexão VNC Oculta
7. Design modular, permitindo atualizações fáceis nas máquinas das vítimas
8. Furtividade: Tráfego de retorno de chamada, APIs, Chaves de registro e quaisquer outros indicadores são descriptografados dinamicamente
9. Descarta o malware Pony como um módulo para atuar como infostealer

Latentbot Payload, Objetivo dos Ataques

Além de ser furtivo, O Latentbot é projetado para manter seu código malicioso na memória da máquina pelo tempo que for necessário. Então, o código será deletado. Como os pesquisadores apontam, a maioria dos dados codificados está localizada nos recursos do programa ou no registro. Além disso, especifico, algoritmo de criptografia customizado é compartilhado entre os vários componentes. As comunicações de comando e controle também são criptografadas. Por causa disso, Os binários da família do Latentbot são detectados com um nome genérico, por exemplo. Trojan.Generic.

Aqui está uma lista de algumas de suas detecções por fornecedores de antivírus:

  • Trojan.Win32.Generic!BT
  • Trojan.GenericKD.2778570
  • Trojan.Generic.D2A65CA
  • Trojan.Generic.D2A65CA
  • UnclassifiedMalware
  • Trojan.MSIL.Crypt
  • Backdoor / Androm.tzz

Processo de infecção do Latentbot

O ataque é desencadeado pela abertura de um e-mail de spam contendo anexos maliciosos. Assim que tal anexo for executado, o computador será infectado com um downloader de malware que derrubará o LuminosityLink RAT (Acesso remoto Trojan). Uma vez que o RAT determina se a máquina específica atende aos requisitos (por exemplo. se o PC estiver no Windows Vista, ele não será atacado), a carga útil da operação a.k.a. Latentbot é descartado. Como um todo, o processo de instalação do Latentbot é sofisticado, passando por seis fases diferentes. O objetivo principal é ocultar suas atividades e contornar a engenharia reversa.

O Latentbot executa ataques direcionados?
De acordo com pesquisadores, a porta dos fundos furtiva não é direcionada, pelo menos não nas indústrias que afetou. Contudo, é seletivo quando se trata dos tipos de sistema Windows para atacar. Latentbot não funciona no Windows Vista ou Server 2008, e usa sites comprometidos para sua infraestrutura de comando e controle. portanto, o processo de infecção torna-se mais fácil, e a detecção é mais difícil.

Latentbot por um motivo

Latentbot é de fato latente - ele foi projetado para atividades maliciosas silenciosas. Suas várias camadas de ofuscação e o fato de que pode remover os dados da memória do computador, uma vez que não são necessários, torna-o bastante perigoso e furtivo. além disso, Latentbot também pode atuar como um ransomware bloqueando a área de trabalho da vítima e deixando cair o Malware pônei no MBR da vítima (Master Boot Record).

Para deixar o Latentbot ainda mais temeroso, foi projetado por meio de uma infraestrutura modular, tornando-o capaz de se atualizar com novos recursos quando necessário.

Em conclusão, Os pesquisadores da FireEye dizem que o Latentbot é "barulhento o suficiente" para ser detectado na memória com a ajuda de uma solução avançada.

Baixar

Remoção de Malware Ferramenta


digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo