O malware PsiXBot é uma ameaça avançada que contém vários módulos perigosas que o distinguem de outros tipos de malware semelhante de seu tipo. Entre eles está um componente chantagem sextortion que pode ser muito eficaz contra as suas vítimas pretendidas. A análise de segurança das amostras capturadas mostra que ela é distribuída por meio de várias campanhas de alto impacto, incluindo o kit Spelevo Exploit.
Campanhas Sextortion lançadas por malware PsiXBot
O malware PsiXBot é uma ameaça muito perigosa em uma campanha de campanha em andamento feita por um grupo de hackers desconhecido. Eles estão usando uma versão atualizada do mecanismo de malware e uma técnica de infecção sofisticada. Uma grande parte dos ataques é realizada usando o Spelevo Exploit Kit. Esta é uma ferramenta de hacking que permite aos hackers coordenar campanhas de e-mail em massa e a criação de sites de phishing falsos.
O que é perigoso sobre esta ameaça particular é que as versões mais recentes usam um Resolução DNS que é realizado por meio de uma conexão HTTPS segura. Isso significa que o módulo do cliente local irá proteger sua conexão e representar o tráfego seguro. Isso torna significativamente mais difícil detectar infecções em execução. Os endereços dos servidores de comando e controle são codificados permanentemente e nas amostras e codificados usando um algoritmo especial. Para não aumentar a conscientização, os servidores não são sondados por uma rede “ping” - esta é a técnica mais comum usada para verificar se um servidor está operando. Assim que a infecção for concluída e a conexão do servidor controlada por hacker for iniciada, o cliente local permitirá que os atacantes remotos acionem os módulos disponíveis. Nas últimas versões, o seguinte foi encontrado:
Download e execução, Executar, Obtenha software instalado, Obtenha credenciais do Outlook, Obter lista de processos em execução, Obter Cookies Stealler, Obtenha senhas de ladrão, Auto-exclusão, Iniciar Módulo Complexo, Iniciar Módulo de Criptomoeda, Iniciar Módulo FG, Iniciar Keylogger, Começar um novo módulo complexo, Iniciar Módulo Pornô e Iniciar Módulo Programador.
O Módulo Pornô é um componente especialmente projetado para monitorar a atividade do usuário e ver se eles estão acessando algum site ou conteúdo relacionado a pornografia. Isso é feito pesquisando a atividade dos usuários e comparando-a com um dicionário de termos embutido. Isso levará ao acionamento da gravação do usuário (áudio e vídeo). Os dados coletados serão enviados aos hackers. Com o material disponível os criminosos irão chantagear as vítimas para ganho financeiro.
Esses ataques são classificados como muito perigosos e todos os usuários de computador são encorajados a se protegerem empregando soluções antimalware avançadas.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: