Uma equipe de especialistas de segurança descobriram uma nova geração de malware que é criado pelo grupo de hackers Turla e é chamado o Redutor de Tróia. De acordo com a pesquisa disponível, é um sucessor do malware COMpfun já lançado, que foi inicialmente relatado 2014. As campanhas ativas que a transportam parecem ser contra alvos localizados na Bielorrússia e na Rússia.
O Trojan redutor é o mais novo malware perigoso dos hackers da Turla
O grupo de hackers Turla é um grupo experiente que desenvolveu uma nova ameaça perigosa conhecida como Trojan Reductor. Também está sendo distribuído por uma técnica totalmente nova.
Acredita-se que o módulo de malware ocorra por meio de uma nova abordagem que não é o ataque clássico do homem do meio, típico desses casos. Em vez disso, o malware instalará certificados de segurança nos navegadores da Web, permitindo que os atacantes remotos sequestrem sessões seguras e informações privadas. O método likey que tem sido usado pelos atacantes é a distribuição de instaladores de aplicativos infectados por malware de navegadores da web. Um local provável para encontrá-los é enviá-los para “warez” sites - sites obscuros que apresentam aplicativos e dados piratas que geralmente são operados por hackers ou scammers. Existem dois cenários prováveis neste caso:
- Instaladores Copycat - Os hackers podem se passar por pacotes legítimos de configuração dos navegadores populares - os mais populares são o Mozilla Firefox e o Google Chrome.
- Instaladores de aplicativos modificados & Versões personalizadas - Os hackers podem criar “Atualizada” ou “otimizado” versões dos navegadores comuns e apresentá-los nos sites falsos. A outra técnica é criar novos navegadores falsos, que são apenas versões renomeadas dos aplicativos populares que apresentam o código do vírus.
A qualquer momento, as técnicas de distribuição podem mudar para outros métodos: o uso de redes de compartilhamento de arquivos e a inclusão de links para as páginas de malware por meio de mensagens de email e perfis de redes sociais que são invadidos ou falsificados.
O cavalo de Troia redutor e suas capacidades
Assim que o Trojan Reductor for implantado em um determinado sistema, seu mecanismo principal será iniciado. Ele se conectará a um servidor controlado por hackers, que permitirá que os hackers assumam o controle dos hosts, roubam seus arquivos e também instalam outras ameaças.
O que é perigoso é o fato de o Trojan ser capaz de seqüestrar todo o tráfego sensível e seguro que flui dos usuários para as páginas da Internet e vice-versa.. Ao executar o mecanismo relevante, os criminosos podem realizar uma variedade de ações perigosas. As amostras capturadas foram encontradas para permitir o seguinte:
- hostinfo - Este comando recuperará o nome do host do computador
- gettimeout - Isso recuperará o valor do tempo limite do registro do Windows
- lista de domínio - Isso transmitirá o C atualmente usado&Domínio do servidor C
- downfile - Isso fará o download de um determinado arquivo do computador infectado
- upfile - Isso fará o upload de um arquivo para o computador contaminado
- opções - Permite que os hackers editem certos valores no registro do Windows
- execfile - Isso executará um determinado arquivo no host remoto
- nop - Ocioso
- mate - Isso excluirá todos os arquivos e dados associados ao Trojan Reductor. Isso inclui os certificados digitais, arquivos, biscoitos, Valores do Registro do Windows e quaisquer módulos relacionados
- deletefile - Isso excluirá um arquivo em um determinado local
- certlist - Isso renovará os certificados digitais do malware instalado
Além do principal mecanismo de Trojan, os hackers provavelmente habilitarão módulos comuns, incluindo o instalação persistente 1. Ele editará as opções de configuração de inicialização, permitindo que o mecanismo principal seja iniciado assim que o sistema operacional for inicializado. Em muitos casos, isso também desativará o acesso às opções de inicialização de recuperação. O fato de os hackers terem como alvo o tráfego seguro nos dá razões para acreditar que o grupo de hackers provavelmente está tentando invadir sessões bancárias on-line. No entanto, é provável que outros cenários também sejam usados para roubar dados confidenciais, bem como vigilância de alvos de alto perfil.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: