Os analistas de segurança detectaram uma nova campanha de ataque que tem como foco a Ucrânia carregando uma nova arma perigosa - o malware Vermin. De acordo com os relatórios divulgados, esta é uma versão altamente atualizada do Trojan Quasar que foi ainda mais personalizado com código personalizado. O código perigoso permite que os criminosos assumam o controle total dos dispositivos comprometidos.
O malware vermin foi liberado
Uma recente campanha de ataque contra dispositivos localizados na Ucrânia levou à descoberta de um novo malware perigoso chamado Vermin. Os pesquisadores que detectaram as infecções apontam que é um fork do Trojan Quasar que contém muitas melhorias de código e adições personalizadas. Isso o torna uma arma formidável devido ao fato de não estar diretamente associado aos padrões de comportamento do Quasar e ao mecanismo de malware original. O ataque direcionado contra o país está vinculado a dois cenários de caso em consideração. O primeiro está relacionado ao fato de que é possível que os operadores de hackers tenham pré-configurado o ataque usando uma lista de alvos pronta.. A segunda proposta é atribuída ao fato de que o motor pode extrair informações detalhadas sobre as configurações regionais. Usando as informações adquiridas, o mecanismo de malware pode se ativar se considerar que os dispositivos comprometidos são viáveis. Em outros casos, ele pode excluir a si mesmo para evitar a detecção.
Os ataques são iniciados principalmente por meio de mensagens distribuídas por meio de redes sociais, uma das principais táticas era utilizar vários perfis falsos do Twitter e criar links para documentos infectados. Eles podem ser de diferentes tipos, incluindo: documentos de texto rico, apresentações e planilhas. Os criminosos por trás disso usam táticas de engenharia social, que coage as vítimas a interagir com os arquivos. Eles são apresentados como documentos feitos pelo Ministério da Defesa do país. Os arquivos contêm um executável autoextraível chamariz que ativa o código do malware que leva às infecções.
Táticas de infiltração de malware da Vermin - O processo de malware
Assim que as infecções começarem a conexão segura com um servidor controlado por hacker está estabelecido. O interessante é que os operadores usam o protocolo SOAP em vez do protocolo HTTP comum. É usado principalmente para trocar informações estruturadas e uma das razões pelas quais foi preferido é o fato de que o software de segurança automatizado geralmente não verifica este protocolo, pois pode não estar incluído nas assinaturas padrão. Uma análise detalhada mostra que as campanhas em andamento apresentam diferentes cepas personalizadas. Todos eles são construídos usando parâmetros variáveis que podem dificultar a remoção no caso de várias infecções atingirem a mesma rede.
As primeiras verificações feitas após as infecções de malware estão relacionadas às configurações regionais. O mecanismo de malware é capaz de criar um perfil detalhado dos dispositivos da vítima. Isso inclui ambos métricas anônimas e dados pessoalmente identificáveis. A primeira categoria está relacionada às informações de hardware e variáveis do sistema. É usado principalmente pelos operadores de hackers para avaliar a eficácia dos ataques. A segunda categoria é composta de dados que podem expor diretamente a identidade da vítima. Consiste em strings relacionadas ao seu nome, endereço, número de telefone, geolocalização, preferências e credenciais da conta.
Os especialistas indicam que o código Vermin procura quatro idiomas de entrada específicos: ru – russo, Reino Unido – ucraniano, ru-ru – Russo e uk-ua – ucraniano. Se alguma das verificações for aprovada, a infecção continua. As etapas de acompanhamento estão relacionadas ao download de componentes de malware adicionais. Eles estão na forma criptografada e são descriptografados em tempo real, bem como executados logo depois disso. Durante esta fase de inicialização, os hackers podem habilitar um proteção discrição que pode contornar quaisquer serviços de segurança detectados. Isso inclui sandboxes, máquinas virtuais e ambientes de depuração. O mecanismo de malware pode contorná-los ou removê-los de acordo com as instruções integradas. Em alguns casos, se achar que não pode fazê-lo, pode excluir-se para evitar a detecção.
Além de tudo o mais, os analistas descobriram que a ameaça instala um keylogger. Ele está embutido nos vários processos de malware e disfarçado como um Serviço de impressora Adobe. O processo pode coletar várias informações - todas as teclas, movimento do mouse ou interações individuais conforme definido pelos operadores. As informações coletadas são criptografadas e armazenadas em um local de pasta:
%appdata%MicrosoftProofSettings.{ED7BA470-8E54-465E-825C-99712043E01C}\Perfis.
Cada arquivo de log individual é gravado usando o seguinte formato: “{0:dd-MM-aaaa}.TXT".
Capacidades de malware de vermes
Uma vez que o malware Vermin tenha acesso ao computador e se infiltrou nos processos do sistema, conectando-se a eles e criando seus próprios threads, os módulos permitem que os criminosos iniciem uma variedade de comandos. Isso é feito usando a conexão de rede segura especial por meio do protocolo SOAP citado. A lista completa inclui as seguintes opções:
- Arquivar e Dividir — Arquivar arquivos de destino e dividi-los em partes
- Cancelar download do arquivo — Cancelar uma transferência de arquivo em execução
- Cancelar upload de arquivo — Cancelar um processo de upload em execução
- CheckIfProcessIsRunning — Verifica se um processo de destino está em execução.
- CheckIfTaskIsRunning — Consulta o sistema para um processo específico em execução.
- Criar pasta — Cria uma nova pasta no local especificado
- Deletar arquivos — Remove um arquivo de destino.
- Excluir pasta - Comanda o malware para excluir uma pasta definida.
- ⇬ Fazer download do arquivo - Recupera um arquivo de um local remoto.
- GetMonitors - Verifica se há aplicativos que podem estar monitorando o sistema.
- GetProcesses - Recupera a lista de processos em execução.
- KillProcess - Interrompe a execução de processos.
- ReadDirectory - Lê o conteúdo do diretório de destino.
- RenameFile - Renomear arquivos de destino.
- RunKeyLogger - Executa o Módulo Keylogger.
- SetMicVolume - Ajusta o volume do microfone.
- ShellExec - Executa comandos fornecidos.
- StartAudioCapture - Ativa a vigilância de áudio.
- StartCaptureScreen - Ativa o Módulo de Captura de Tela.
- StopAudioCapture - Desativa a vigilância de áudio.
- StopCaptureScreen - Desativa o Módulo de Captura de Tela.
- UpdateBot - Atualiza o módulo de vírus Running Vermin.
- Subir arquivo — Transfere um arquivo para o servidor de comando.
Os domínios a seguir foram encontrados relacionados às campanhas de ataque até agora:
akamaicdn[.]ru
cdnakamai[.]ru
www.akamaicdn[.]ru
www.akamainet066[.]informações
www.akamainet023[.]informações
www.akamainet021[.]informações
akamainet023[.]informações
akamainet022[.]informações
akamainet021[.]informações
www.akamainet022[.]informações
akamainet066[.]informações
akamainet024[.]informações
www.cdnakamai[.]ru
notificar e-mail[.]ru
www.notifymail[.]ru
mailukr[.]líquido
tech-adobe.dyndns[.]biz
www.mailukr[.]líquido
185.158.153[.]222
94.158.47[.]228
195.78.105[.]23
94.158.46[.]251
188.227.75[.]189
212.116.121[.]46
185.125.46[.]24
5.200.53[.]181
Remoção de vírus vermes
As complexas táticas de infecção associadas ao vírus Vermin mostram que ele só pode ser removido usando uma solução anti-spyware de qualidade. Uma vez que as infecções tenham ocorrido, segue-se uma análise de sistema muito completa que fornece ao mecanismo de malware informações detalhadas sobre como a máquina comprometida está configurada. Isso permite que o Trojan afete todos os principais componentes do sistema operacional. Como tal, os operadores de hackers podem selar arquivos confidenciais, espionar as vítimas e usar os dados coletados para fins de chantagem e fraude.
É altamente recomendável que todas as vítimas executem uma verificação gratuita do sistema para garantir que estejam seguras usando um aplicativo de segurança confiável. A solução também é capaz de proteger os computadores de quaisquer ataques recebidos.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter