Casa > cibernético Notícias > StrongPity Hackers lança ataque de spyware contra alvos da Turquia e da Síria
CYBER NEWS

StrongPity Hackers lança ataque de spyware contra alvos da Turquia e da Síria

Pesquisadores de segurança detectaram que um ataque contínuo está sendo realizado por um grupo de hackers chamado StrongPity, usando arquivos spyware. Os resultados mostram que essa campanha em particular parece estar focada nos alvos curdos presentes nesses países.




Hosts na Turquia e na Síria são alvo de hackers experientes do StrongPity usando spyware modificado

O spyware usado como ferramenta de infiltração é uma versão modificada do malware detectado anteriormente. Agora, eles incluem novas funcionalidades e códigos, refletindo o fato de os criminosos terem experiência.

Os hackers se concentraram em pré-selecionar seus alvos para que representem computadores e redes que pertencem e são usados ​​pelos curdos. Isso mostra claramente que esta campanha é politicamente motivado. Os registros de data e hora integrados nos arquivos capturados indicam que coincidem com Outubro 1 2019. Isso pode se referir a duas coisas — a data de compilação das ferramentas ou o início da Operação Paz Primavera — as ações militares turcas na Síria, que usavam esse nome de código. Tudo isso mostra que é possível que a campanha seja patrocinada pelo estado.

As infecções são feitas pré-selecionando os servidores de destino e iniciando um perigoso vírus Trojan contra eles. As versões modificadas dos Trojans serão entregues através de um ataque chamado regador. Eles são realizados selecionando sites visitados com freqüência, que serão invadidos e redirecionados para uma página de destino controlada por hackers. Isso acionará o download de um pacote de aplicativos ou arquivos executáveis ​​diretos. Esses arquivos são assinados digitalmente com certificados autoassinados que aparecerão como um software legítimo. As chaves de criptografia também são adicionadas para ocultar os conta-gotas das verificações de segurança comuns. Exemplos de pacotes de software infectados incluem exemplos como os seguintes:

  • Arquivar Programas — 7-Zip e WinRAR
  • Software de segurança — McAfee Security Scan Plus
  • Aplicativos de recuperação de arquivos — Recuva
  • Aplicativos de conexão remota — TeamViewer
  • Aplicativos de bate-papo — Whatsapp
  • Utilidades do sistema — Piriform CCleaner, CleverFiles, Disk Drill, Daemon Tools Lite, Glary Utilities e RAR Password Unlocker

Quando os conta-gotas são executados, o código malicioso inicia e interage com os servidores controlados por hackers, recuperando o segundo estágio das ferramentas de spyware..

relacionado: [wplinkpreview url =”https://sensorstechforum.com/ransomware-lenovoemc-nas-devices/ “]O ransomware está direcionado aos dispositivos NAS LenovoEMC

Os hackers do StrongPity incluem recursos avançados no spyware

Quando as vítimas envolverem os arquivos spyware relevantes, isso levará à implantação de 4 arquivos: o arquivo de configuração legítimo do software, iniciador e seu componente de instalação persistente relevante, o componente de seqüestro de dados e um pesquisador de arquivos.

O Trojan primeiro carregará a instalação legítima do software real, para que os usuários da vítima não suspeitem de ações potencialmente perigosas. Contudo Enquanto isso, o código do vírus será iniciado em segundo plano. Os componentes do malware são entregues em forma criptografada e são extraídos quando precisam ser acessados ​​em seções que os protegerão de possíveis verificações de segurança.

O componente iniciador do spyware será entregue na pasta SYSTEM a partir daqui e iniciará um serviço próprio. As amostras coletadas mostram que o malware representará um serviço do sistema operacional em execução, como Spooler de impressão ou Servidor de Manutenção de Registro. Uma ação relacionada é a instalação da ameaça em um estado persistente. Isso significa que o código do vírus e todos os componentes relacionados serão iniciados automaticamente quando o computador for ligado.

o coleção de dados módulo será executado ao lado do pesquisador de arquivo componente para encontrar arquivos que possam ser considerados sensíveis pelos hackers. Isso inclui informações pessoais do usuário e dados da máquina que serão enviados aos criminosos usando uma conexão de rede.

Dadas essas capacidades, é muito possível que o código possa ser modificado para incluir outras funcionalidades, como as seguintes:

  • Instalação Malware adicional — Durante o processo de infiltração, as ferramentas de spyware podem ser programadas para fornecer e instalar o código de malware em todas as principais categorias de vírus. Isso pode incluir totalmente capaz Trojans projetados para ultrapassar o controle das máquinas vítimas e roubar dados confidenciais contidos nelas. As ameaças da Web geralmente carregam mineiros criptomoeda também - eles baixam e executam uma sequência de tarefas complexas que exigem muito desempenho. Eles aproveitarão os componentes de hardware mais importantes: CPU, Memória, Gráficos, Espaço em disco rígido, GPU e velocidade da rede. Para cada tarefa concluída e relatada, os hackers receberão criptomoeda como recompensa. Outro malware possível que pode ser instalado seria um vírus ransomware — eles processarão os dados do usuário de acordo com uma lista interna de extensões de tipo de arquivo de destino. Eles serão criptografados, o que tornará o acesso inacessível. Eles serão extorquidos a pagar uma taxa de descriptografia.
  • Alterações do sistema — Os criminosos também podem implementar manipulação avançada do sistema, incluindo a modificação de arquivos de configuração e alterações no Registro do Windows. Isso pode impossibilitar o início de certos serviços e também pode levar a erros inesperados e problemas mais amplos do sistema.
  • botnet Recrutamento — Em alguns casos, os hosts contaminados podem ser recrutados para uma rede mundial de computadores conectados. Seu poder coletivo pode ser aproveitado para ataques em larga escala que podem ser concentrados em um único computador de destino. O tipo mais comum de ataque é o Negação de serviço distribuída campanhas que derrubarão os sites de destino.

Espera-se que essas campanhas direcionadas continuem à medida que grupos avançados de hackers são politicamente motivados e usam pesquisas preliminares nas redes de vítimas pretendidas.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo