Silêncio é o nome de um novo Trojan (e o grupo de hackers por trás disso), descoberto em setembro pelos pesquisadores da Kaspersky Lab. O ataque direcionado é feito contra instituições financeiras, e neste ponto suas vítimas são principalmente bancos russos, bem como organizações na Malásia e Armênia.
Resumo ameaça
| Nome | Trojan silencioso |
| Tipo | Banking Trojan |
| Pequena descrição | O Trojan está obtendo acesso persistente às redes bancárias internas, fazer gravações de vídeo das atividades diárias das máquinas dos funcionários do banco. |
| Os sintomas | O principal recurso do Silence Trojan é a capacidade de fazer capturas de tela repetidas, tomadas em pequenos intervalos, da área de trabalho da vítima. Ele foi construído com a ideia de não ser detectado em sistemas direcionados. |
| distribuição Método | Emails de spear-phishing |
| Ferramenta de detecção |
Veja se o seu sistema foi afetado por malware
Baixar
Remoção de Malware Ferramenta
|
Experiência de usuário | Participe do nosso Fórum para discutir o Trojan Silence. |
| Ferramenta de recuperação de dados | Windows Data Recovery por Stellar Phoenix Aviso prévio! Este produto verifica seus setores de unidade para recuperar arquivos perdidos e não pode recuperar 100% dos arquivos criptografados, mas apenas alguns deles, dependendo da situação e se você tem ou não reformatado a unidade. |
Nestes ataques, Os autores do Silence estavam usando uma técnica de hacking muito eficiente - obtendo acesso persistente a redes bancárias internas, fazer gravações de vídeo das atividades diárias das máquinas dos funcionários do banco, adquirindo assim conhecimento sobre como o software está sendo usado. Esse conhecimento foi posteriormente aplicado para roubar o máximo de dinheiro possível.
Vale a pena mencionar que os pesquisadores já observaram esta técnica em operações direcionadas Carbanak. Conforme explicado no original relatório, o vetor de infecção é um e-mail de spear-phishing com um anexo malicioso. Um estágio digno de nota do ataque Silêncio é que os cibercriminosos já haviam comprometido a infraestrutura bancária para enviar seus e-mails de spear-phishing de endereços de funcionários de banco reais para que parecessem o menos suspeitos possível para futuras vítimas.
Anexo malicioso .chm, parte da campanha do Trojan Silence
O anexo detectado nessas últimas campanhas foi identificado como um Ajuda HTML compilada da Microsoft Arquivo. Este é um formato de ajuda online proprietário da Microsoft que consiste em uma coleção de páginas HTML, indexação e outras ferramentas de navegação, pesquisadores explicam. Esses arquivos são compactados e implantados em um formato binário com o .CHM (HTML compilado) extensão. Eles são altamente interativos e podem executar uma série de tecnologias como JavaScript. Os arquivos podem redirecionar a vítima para um URL externo simplesmente abrindo o CHM.
Uma vez que o anexo é aberto pela vítima, o arquivo de conteúdo .htm incorporado (“Start.htm”) É executado. Este arquivo contém JavaScript, e seu objetivo é baixar e executar outro estágio a partir de um URL codificado.
disse brevemente, os e-mails de spear-phishing enviados às vítimas, eles contêm um CHM (HTML compilado) anexo de arquivo. Ao baixar e abrir o anexo, o arquivo CHM executará comandos JavaScript configurados para baixar e instalar uma carga maliciosa conhecida como dropper. No caso do ataque do Trojan Silence, esta carga foi identificada como um executável Win32 implantado para coletar dados em hosts infectados. Os dados coletados são normalmente enviados para o C dos invasores&servidores C.
Num estado mais avançado, quando uma máquina direcionada é considerada valiosa para a operação, os invasores enviam uma carga útil de segundo estágio - o próprio Trojan Silence.
Silence Trojan - Especificações Técnicas
O principal recurso do Silence Trojan é a capacidade de fazer capturas de tela repetidas, tomadas em pequenos intervalos, da área de trabalho da vítima. As capturas de tela são carregadas para o C&Servidor C onde um fluxo de pseudo-vídeo em tempo real é criado.
Por que os autores do Trojan usam capturas de tela em vez de um vídeo? Eles podem ter escolhido esta forma de registrar as atividades dos funcionários porque usa menos recursos do computador e ajuda o cavalo de Tróia a permanecer sem detecção. Este pode ser o motivo pelo qual a operação é chamada de Silêncio.
Assim que todos os dados forem coletados, os cibercriminosos podem revisar as capturas de tela para localizar dados valiosos, como encontrar URLs de sistemas internos de gerenciamento de dinheiro, para continuar sua operação.
O estágio final da operação é construído em torno da exploração de ferramentas legítimas de administração do Windows para mascarar o Trojan em sua fase final. Esta técnica foi usada anteriormente por Carbanak.
A melhor maneira de se proteger contra ataques direcionados a organizações financeiras é implantar recursos avançados de detecção encontrados em uma solução que pode detectar todos os tipos de anomalias e também examinar arquivos suspeitos em um nível mais profundo, pesquisadores dizem.
digitalizador SpyHunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: