Casa > cibernético Notícias > Malware complexo de vermes e rato contra a Ucrânia
CYBER NEWS

Vermes Complexo Malware e Conjunto do Rato contra a Ucrânia

por   |  Last Update:  |  0 Comentários  

Imagem do vírus vermin

Os analistas de segurança detectaram uma nova campanha de ataque que tem como foco a Ucrânia carregando uma nova arma perigosa - o malware Vermin. De acordo com os relatórios divulgados, esta é uma versão altamente atualizada do Trojan Quasar que foi ainda mais personalizado com código personalizado. O código perigoso permite que os criminosos assumam o controle total dos dispositivos comprometidos.

O malware vermin foi liberado

Uma recente campanha de ataque contra dispositivos localizados na Ucrânia levou à descoberta de um novo malware perigoso chamado Vermin. Os pesquisadores que detectaram as infecções apontam que é um fork do Trojan Quasar que contém muitas melhorias de código e adições personalizadas. Isso o torna uma arma formidável devido ao fato de não estar diretamente associado aos padrões de comportamento do Quasar e ao mecanismo de malware original. O ataque direcionado contra o país está vinculado a dois cenários de caso em consideração. O primeiro está relacionado ao fato de que é possível que os operadores de hackers tenham pré-configurado o ataque usando uma lista de alvos pronta.. A segunda proposta é atribuída ao fato de que o motor pode extrair informações detalhadas sobre as configurações regionais. Usando as informações adquiridas, o mecanismo de malware pode se ativar se considerar que os dispositivos comprometidos são viáveis. Em outros casos, ele pode excluir a si mesmo para evitar a detecção.

Os ataques são iniciados principalmente por meio de mensagens distribuídas por meio de redes sociais, uma das principais táticas era utilizar vários perfis falsos do Twitter e criar links para documentos infectados. Eles podem ser de diferentes tipos, incluindo: documentos de texto rico, apresentações e planilhas. Os criminosos por trás disso usam táticas de engenharia social, que coage as vítimas a interagir com os arquivos. Eles são apresentados como documentos feitos pelo Ministério da Defesa do país. Os arquivos contêm um executável autoextraível chamariz que ativa o código do malware que leva às infecções.

Story relacionado: Malware Trends 2018: Como é a ameaça Paisagem Shaping?

Táticas de infiltração de malware da Vermin - O processo de malware

Assim que as infecções começarem a conexão segura com um servidor controlado por hacker está estabelecido. O interessante é que os operadores usam o protocolo SOAP em vez do protocolo HTTP comum. É usado principalmente para trocar informações estruturadas e uma das razões pelas quais foi preferido é o fato de que o software de segurança automatizado geralmente não verifica este protocolo, pois pode não estar incluído nas assinaturas padrão. Uma análise detalhada mostra que as campanhas em andamento apresentam diferentes cepas personalizadas. Todos eles são construídos usando parâmetros variáveis ​​que podem dificultar a remoção no caso de várias infecções atingirem a mesma rede.

As primeiras verificações feitas após as infecções de malware estão relacionadas às configurações regionais. O mecanismo de malware é capaz de criar um perfil detalhado dos dispositivos da vítima. Isso inclui ambos métricas anônimas e dados pessoalmente identificáveis. A primeira categoria está relacionada às informações de hardware e variáveis ​​do sistema. É usado principalmente pelos operadores de hackers para avaliar a eficácia dos ataques. A segunda categoria é composta de dados que podem expor diretamente a identidade da vítima. Consiste em strings relacionadas ao seu nome, endereço, número de telefone, geolocalização, preferências e credenciais da conta.

Os especialistas indicam que o código Vermin procura quatro idiomas de entrada específicos: ru – russo, Reino Unido – ucraniano, ru-ru – Russo e uk-ua – ucraniano. Se alguma das verificações for aprovada, a infecção continua. As etapas de acompanhamento estão relacionadas ao download de componentes de malware adicionais. Eles estão na forma criptografada e são descriptografados em tempo real, bem como executados logo depois disso. Durante esta fase de inicialização, os hackers podem habilitar um proteção discrição que pode contornar quaisquer serviços de segurança detectados. Isso inclui sandboxes, máquinas virtuais e ambientes de depuração. O mecanismo de malware pode contorná-los ou removê-los de acordo com as instruções integradas. Em alguns casos, se achar que não pode fazê-lo, pode excluir-se para evitar a detecção.

Além de tudo o mais, os analistas descobriram que a ameaça instala um keylogger. Ele está embutido nos vários processos de malware e disfarçado como um Serviço de impressora Adobe. O processo pode coletar várias informações - todas as teclas, movimento do mouse ou interações individuais conforme definido pelos operadores. As informações coletadas são criptografadas e armazenadas em um local de pasta:

%appdata%MicrosoftProofSettings.{ED7BA470-8E54-465E-825C-99712043E01C}\Perfis.

Cada arquivo de log individual é gravado usando o seguinte formato: “{0:dd-MM-aaaa}.TXT".

Capacidades de malware de vermes

Uma vez que o malware Vermin tenha acesso ao computador e se infiltrou nos processos do sistema, conectando-se a eles e criando seus próprios threads, os módulos permitem que os criminosos iniciem uma variedade de comandos. Isso é feito usando a conexão de rede segura especial por meio do protocolo SOAP citado. A lista completa inclui as seguintes opções:

  • Arquivar e Dividir — Arquivar arquivos de destino e dividi-los em partes
  • Cancelar download do arquivo — Cancelar uma transferência de arquivo em execução
  • Cancelar upload de arquivo — Cancelar um processo de upload em execução
  • CheckIfProcessIsRunning — Verifica se um processo de destino está em execução.
  • CheckIfTaskIsRunning — Consulta o sistema para um processo específico em execução.
  • Criar pasta — Cria uma nova pasta no local especificado
  • Deletar arquivos — Remove um arquivo de destino.
  • Excluir pasta - Comanda o malware para excluir uma pasta definida.
  • ⇬ Fazer download do arquivo - Recupera um arquivo de um local remoto.
  • GetMonitors - Verifica se há aplicativos que podem estar monitorando o sistema.
  • GetProcesses - Recupera a lista de processos em execução.
  • KillProcess - Interrompe a execução de processos.
  • ReadDirectory - Lê o conteúdo do diretório de destino.
  • RenameFile - Renomear arquivos de destino.
  • RunKeyLogger - Executa o Módulo Keylogger.
  • SetMicVolume - Ajusta o volume do microfone.
  • ShellExec - Executa comandos fornecidos.
  • StartAudioCapture - Ativa a vigilância de áudio.
  • StartCaptureScreen - Ativa o Módulo de Captura de Tela.
  • StopAudioCapture - Desativa a vigilância de áudio.
  • StopCaptureScreen - Desativa o Módulo de Captura de Tela.
  • UpdateBot - Atualiza o módulo de vírus Running Vermin.
  • Subir arquivo — Transfere um arquivo para o servidor de comando.

Os domínios a seguir foram encontrados relacionados às campanhas de ataque até agora:

akamaicdn[.]ru
cdnakamai[.]ru
www.akamaicdn[.]ru
www.akamainet066[.]informações
www.akamainet023[.]informações
www.akamainet021[.]informações
akamainet023[.]informações
akamainet022[.]informações
akamainet021[.]informações
www.akamainet022[.]informações
akamainet066[.]informações
akamainet024[.]informações
www.cdnakamai[.]ru
notificar e-mail[.]ru
www.notifymail[.]ru
mailukr[.]líquido
tech-adobe.dyndns[.]biz
www.mailukr[.]líquido
185.158.153[.]222
94.158.47[.]228
195.78.105[.]23
94.158.46[.]251
188.227.75[.]189
212.116.121[.]46
185.125.46[.]24
5.200.53[.]181

Remoção de vírus vermes

As complexas táticas de infecção associadas ao vírus Vermin mostram que ele só pode ser removido usando uma solução anti-spyware de qualidade. Uma vez que as infecções tenham ocorrido, segue-se uma análise de sistema muito completa que fornece ao mecanismo de malware informações detalhadas sobre como a máquina comprometida está configurada. Isso permite que o Trojan afete todos os principais componentes do sistema operacional. Como tal, os operadores de hackers podem selar arquivos confidenciais, espionar as vítimas e usar os dados coletados para fins de chantagem e fraude.

É altamente recomendável que todas as vítimas executem uma verificação gratuita do sistema para garantir que estejam seguras usando um aplicativo de segurança confiável. A solução também é capaz de proteger os computadores de quaisquer ataques recebidos.

Baixar

Remoção de Malware Ferramenta


digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. Malware HermeticWiper implantado em ataques contra a Ucrânia Um novo malware de limpeza de dados foi descoberto, reportedly used...
  2. Como remover golpes de phishing em 2021 Este artigo foi criado para ajudá-lo...
  3. Dois iOS complexos 12 De senha Shunt Expor contatos e fotos iOS 12, the latest version of Apple’s mobile operating system...
  4. CaddyWiper: Outro limpador destrutivo visando a Ucrânia Pesquisadores de segurança divulgam outro limpador de dados voltado para a Ucrânia, CaddyWiper....
  5. Projetos de Protestware no GitHub Push Pro-Ukraine Ads e Data Wipers Você já ouviu falar em protestware?? Researchers have been tracking the...
  6. Guia de remoção de anúncios Datworld.info Este artigo ajudará você a remover Datworld.info com eficiência. Seguir...
  7. Remover Movie-Quest.info Redirect Este artigo irá ajudá-lo a remover totalmente Movie-Quest.info. Seguir...
  8. Suporte para a Ucrânia E-Mail Scam Guia de Remoção de Vírus [Livre] What Is Support for Ukraine Scam Support for Ukraine is...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo