Os especialistas em segurança certamente encontrarão mais e mais backdoors e botnets, pois estamos testemunhando um aumento na taxa de infecção de ransomware e APTs (ameaças persistentes avançadas).
Interessantemente suficiente, backdoors e botnets recém-detectados podem não ser novos. Por quê? Essas ameaças podem passar despercebidas por meses e até anos. Se uma ameaça for descoberta em 2015, não significa necessariamente que a ameaça foi criada recentemente.
Melhore a sua educação em segurança cibernética:
Backdoors APT controlados por um grupo forte
Nemesis Bootkit colhe dados financeiros
Por que você deve temer o botnet Ponmocop
Um dos últimos backdoors descobertos provou ser bastante furtivo. Denominado Latentbot, a ameaça persistente existe pelo menos desde 2013. Pesquisadores da FireEye revelaram recentemente que o Latentbot tem afetado vítimas nos Estados Unidos, Reino Unido, Canadá, Brasil, Peru, Polônia, Cingapura, Coreia do Sul, Emirados Árabes Unidos.
Suas vítimas são principalmente nos setores financeiro e de seguros. Contudo, outros setores também foram comprometidos.
Capacidades de backdoor do Latentbot
As técnicas de distribuição empregadas pelo dropper de malware podem não ser inovadoras, mas a carga útil do ataque (Osso latente) definitivamente chamou a atenção dos pesquisadores. Não só implementa várias camadas de ofuscação, mas também tem um mecanismo de exfiltração exclusivo.
Esses são os recursos do Latentbot, resumido pela equipe de pesquisa FireEye:
1. Múltiplas camadas de ofuscação
2. Strings descriptografadas na memória são removidas após serem usadas
3. Ocultando aplicativos em uma área de trabalho diferente
4. Capacidade de limpeza MBR
5. Semelhanças de Ransomlock, como a capacidade de bloquear a área de trabalho
6. Conexão VNC Oculta
7. Design modular, permitindo atualizações fáceis nas máquinas das vítimas
8. Furtividade: Tráfego de retorno de chamada, APIs, Chaves de registro e quaisquer outros indicadores são descriptografados dinamicamente
9. Descarta o malware Pony como um módulo para atuar como infostealer
Latentbot Payload, Objetivo dos Ataques
Além de ser furtivo, O Latentbot é projetado para manter seu código malicioso na memória da máquina pelo tempo que for necessário. Então, o código será deletado. Como os pesquisadores apontam, a maioria dos dados codificados está localizada nos recursos do programa ou no registro. Além disso, especifico, algoritmo de criptografia customizado é compartilhado entre os vários componentes. As comunicações de comando e controle também são criptografadas. Por causa disso, Os binários da família do Latentbot são detectados com um nome genérico, por exemplo. Trojan.Generic.
Aqui está uma lista de algumas de suas detecções por fornecedores de antivírus:
- Trojan.Win32.Generic!BT
- Trojan.GenericKD.2778570
- Trojan.Generic.D2A65CA
- Trojan.Generic.D2A65CA
- UnclassifiedMalware
- Trojan.MSIL.Crypt
- Backdoor / Androm.tzz
Processo de infecção do Latentbot
O ataque é desencadeado pela abertura de um e-mail de spam contendo anexos maliciosos. Assim que tal anexo for executado, o computador será infectado com um downloader de malware que derrubará o LuminosityLink RAT (Acesso remoto Trojan). Uma vez que o RAT determina se a máquina específica atende aos requisitos (por exemplo. se o PC estiver no Windows Vista, ele não será atacado), a carga útil da operação a.k.a. Latentbot é descartado. Como um todo, o processo de instalação do Latentbot é sofisticado, passando por seis fases diferentes. O objetivo principal é ocultar suas atividades e contornar a engenharia reversa.
O Latentbot executa ataques direcionados?
De acordo com pesquisadores, a porta dos fundos furtiva não é direcionada, pelo menos não nas indústrias que afetou. Contudo, é seletivo quando se trata dos tipos de sistema Windows para atacar. Latentbot não funciona no Windows Vista ou Server 2008, e usa sites comprometidos para sua infraestrutura de comando e controle. portanto, o processo de infecção torna-se mais fácil, e a detecção é mais difícil.
Latentbot por um motivo
Latentbot é de fato latente - ele foi projetado para atividades maliciosas silenciosas. Suas várias camadas de ofuscação e o fato de que pode remover os dados da memória do computador, uma vez que não são necessários, torna-o bastante perigoso e furtivo. além disso, Latentbot também pode atuar como um ransomware bloqueando a área de trabalho da vítima e deixando cair o Malware pônei no MBR da vítima (Master Boot Record).
Para deixar o Latentbot ainda mais temeroso, foi projetado por meio de uma infraestrutura modular, tornando-o capaz de se atualizar com novos recursos quando necessário.
Em conclusão, Os pesquisadores da FireEye dizem que o Latentbot é "barulhento o suficiente" para ser detectado na memória com a ajuda de uma solução avançada.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter