Modularul malware Noul atac stealth a furat datele

Modularul malware Noul atac stealth a furat datele / Securitate

Malware vine în toate formele și dimensiunile. În plus, sofisticarea programelor malware a crescut considerabil de-a lungul anilor. Atacatorii își dau seama că încercarea de a se potrivi fiecărui aspect al pachetului lor rău intenționat într-o singură sarcină utilă nu este întotdeauna cea mai eficientă cale.

În timp, malware-ul a devenit modular. Adică, unele variante de malware pot folosi diferite module pentru a modifica modul în care acestea afectează un sistem țintă. Deci, ce este malware modular și cum funcționează acesta?

Ce este malware modular?

Modul malware modular este o amenințare avansată care atacă un sistem în diferite etape. În loc să explodeze prin ușa din față, malware-ul modular are o abordare mai subtilă.

Acest lucru se face numai prin instalarea componentelor esențiale. Apoi, în loc să provoace o fanfară și să alerteze utilizatorii la prezența sa, primul modul explorează sistemul și securitatea rețelei; care este responsabilul, ce protecții rulează, unde malware-ul poate găsi vulnerabilități, ce exploatează cele mai bune șanse de succes și așa mai departe.

După definirea cu succes a mediului local, modulul malware din prima etapă poate forma acasă la serverul de comandă și control (C2). Apoi, C2 poate trimite instrucțiuni suplimentare împreună cu module suplimentare de malware pentru a profita de mediul specific în care funcționează malware-ul.

Modul malware modular are mai multe avantaje în comparație cu malware-ul care îmbină toate funcționalitățile sale într-o singură sarcină utilă.

  • Autorul malware poate schimba rapid semnătura malware pentru a evita programele antivirus și alte programe de securitate.
  • Modul malware modular permite o funcționalitate extinsă pentru o varietate de medii. În acest sens, autorii pot reacționa la obiective specifice sau, în mod alternativ, pot aloca module specifice pentru utilizare în medii particulare.
  • Modulele inițiale sunt mici și ușor de încurcat.
  • Combinarea mai multor module malware permite cercetătorilor din domeniul securității să ghicească ce urmează.

Modul malware modular nu reprezintă o nouă amenințare bruscă. Dezvoltatorii de malware au folosit o utilizare eficientă a programelor malware modulare pentru o perioadă lungă de timp. Diferența este că cercetătorii din domeniul securității întâlnesc programe malware mai modulare într-o gamă mai largă de situații. Cercetătorii au descoperit, de asemenea, enormul botnet Necurs (infamant pentru distribuirea variantelor Dridex și Locky ransomware) care distribuie sarcini utile malware-uri modulare. (Ce este un botnet, oricum? Ce este un botnet și computerul dvs. este parte dintr-un? Ce este un Botnet și computerul dvs. este parte dintr-un? Botnet-urile sunt o sursă majoră de malware, rromi, spam și multe altele. un botnet, cum intră în existență, cine le controlează și cum le putem opri?

Exemple modulare de malware

Există câteva exemple de malware modulare foarte interesante. Iată câteva dintre ele pe care le puteți lua în considerare.

VPNFilter

VPNFilter este o variantă recentă de programe malware care atacă dispozitivele de rutare și dispozitivele Internet de obiecte (IoT). Malware-ul funcționează în trei etape.

Prima malware contactează un server de comandă și control pentru a descărca modulul etapa a doua. Modulul a doua etapă colectează date, execută comenzi și poate interfera cu gestionarea dispozitivelor (inclusiv capacitatea de a “cărămidă” un router, un IoT sau un dispozitiv NAS). A doua etapă poate de asemenea să descarce modulele din a treia etapă, care funcționează ca plugin-uri pentru a doua etapă. Stadiul trei module include un sniffer de pachete pentru traficul SCADA, un modul de injectare a pachetelor și un modul care permite malware-ului din stadiul 2 să comunice folosind rețeaua Tor.

Puteți afla mai multe despre VPNFilter, de unde a provenit și despre cum să-l găsiți aici.

T9000

Cercetătorii de securitate Palo Alto Networks au descoperit malware-ul T9000 (fără legătură cu Terminator sau Skynet ... sau este ?!).

T9000 este un instrument de culegere de date și informații. Odată instalat, T9000 permite unui atacator “capturați date criptate, capturați capturi de ecran ale anumitor aplicații și vizați în mod special utilizatorii Skype,” precum și fișiere de produse Microsoft Office. T9000 vine cu diferite module concepute pentru a evita până la 24 de produse de securitate diferite, modificând procesul de instalare să rămână sub radar.

DanaBot

DanaBot este un troian bancar cu mai multe etape, cu diferite pluginuri pe care autorul le folosește pentru a-și extinde funcționalitatea. (Cum de a trata rapid și eficient cu troieni de acces la distanță Cum să pur și simplu și efectiv să se ocupe cu troieni de acces de la distanță Cum să pur și simplu și efectiv să se ocupe cu Troienii de acces de la distanță Miros de RAT Dacă credeți că ați fost infectat cu un troian de acces de la distanță, puteți citi mai ușor), de exemplu, în mai 2018, DanaBot a fost văzută într-o serie de atacuri împotriva băncilor australiene. La vremea respectivă, cercetătorii au descoperit un plugin de snifare și de injecție a pachetelor, un plug-in de vizualizare de la distanță VNC, un plugin de recoltare a datelor și un plug-in Tor care permite o comunicație sigură.

“DanaBot este un troian bancar, ceea ce înseamnă că acesta este în mod necesar orientat geografic într-o anumită măsură,” citește intrarea blogului Proofpoint DanaBot. “Adoptarea de către actori de mare volum, totuși, așa cum am văzut în campania americană, sugerează dezvoltarea activă, expansiunea geografică și interesul actorilor de amenințare continuă pentru malware. Malware-ul în sine conține o serie de caracteristici anti-analiză, precum și module de furt și de control la distanță, îmbunătățind în continuare atractivitatea și utilitatea actorilor amenințători.”

Marap, AdvisorsBot și CobInt

Am combinat trei variante modulare de malware într-o singură secțiune, deoarece cercetătorii de securitate de la Proofpoint au descoperit toate cele trei. Modelele de variante malware prezintă asemănări, dar au utilizări diferite. În plus, CobInt face parte dintr-o campanie pentru Grupul Cobalt, o organizație criminală care are legături cu o lungă listă de crimă bancară și financiară informatică.

Marap și AdvisorsBot au fost identificate ambele sisteme de destinație pentru cartușe de apărare și de rețea și dacă malware-ul ar trebui să descarce întregul încărcătură utilă. Dacă sistemul țintă are un interes suficient (de exemplu, are valoare), malware-ul solicită a doua etapă a atacului.

Ca și alte variante modulare malware, Marap, AdvisorsBot și CobInt urmează un flux în trei etape. Prima etapă este de obicei un e-mail cu atașament infectat care poartă exploatarea inițială. Dacă executivul execută, malware-ul solicită imediat a doua etapă. A doua etapă poartă modulul de recunoaștere care evaluează măsurile de securitate și peisajul de rețea al sistemului țintă. Dacă malware-ul consideră că totul este potrivit, descărcarea modulului 3 și ultimul, inclusiv încărcătura utilă principală.

Proofpoint anaylsis de:

  • Marap
  • AdvisorBot (și PoshAdvisor)
  • CobIn

Mayhem

Mayhem este o varianta malware modulara mai veche, mai intai in lumina in 2014. Cu toate acestea, Mayhem ramane un mare exemplu de malware modular. Malware-ul, descoperit de cercetătorii de securitate de la Yandex, vizează serverele web Linux și Unix. Se instalează printr-un script PHP rău intenționat.

Odată instalat, scriptul poate apela mai multe pluginuri care definesc utilizarea ulterioară a malware-ului.

Plugin-urile includ o cracker de forțe brute care forțează conturile FTP, WordPress și Joomla, un crawler web pentru a căuta alte servere vulnerabile și un instrument care exploatează vulnerabilitatea Heartbleed OpenSLL.

DiamondFox

Varianta noastră finală modulară malware este de asemenea una dintre cele mai complete. Este, de asemenea, unul dintre cele mai îngrijorătoare, din câteva motive.

Motivul unu: DiamondFox este un botnet modular de vânzare pe diverse forumuri subterane. Potențialii infractori cibernetici pot achiziționa pachetul botnet modular DiamondFox pentru a avea acces la o gamă largă de capabilități avansate de atac. Instrumentul este actualizat în mod regulat și, la fel ca toate serviciile online bune, a oferit suport personalizat clienților. (Are chiar un jurnal de schimbare!)

Motivul doi: botnetul modular DiamondFox vine cu o serie de pluginuri. Acestea sunt activate și dezactivate printr-un tablou de bord care nu ar fi lipsit de loc ca o aplicație inteligentă de acasă. Pluginurile includ instrumente de spionaj personalizate, unelte de furt din credite, instrumente DDoS, keyloggers, e-mailuri spam și chiar un raclet RAM.

Avertisment: următorul videoclip are muzică pe care ați putea sau nu să vă bucurați.

Cum să opriți un atac malware modular

La ora actuală, niciun instrument specific nu protejează împotriva unei variante modulare specifice de malware. De asemenea, unele variante modulare de programe malware au un domeniu geografic limitat. De exemplu, Marap, AdvisorsBot și CobInt se găsesc în principal în Rusia și țările CSI.

Acestea fiind spuse, cercetătorii Proofpoint au subliniat că, în ciuda limitărilor geografice actuale, în cazul în care alți infractori văd o astfel de organizație criminală stabilită folosind malware modular, alții vor urma cu siguranță.

Conștientizarea modului în care software-ul malware ajunge în sistemul dvs. este important. Majoritatea utilizează atașamente de e-mail infectate, conținând de obicei un document Microsoft Office cu un script VBA malware. Atacatorii folosesc această metodă deoarece este ușor să trimiteți emailuri infectate la milioane de ținte potențiale. Mai mult, exploatarea inițială este mică și ușor deghizată ca fișier Office.

Asigurați-vă că păstrați sistemul actualizat și luați în considerare investiția în Malwarebytes Premium - merită 5 Motive pentru upgrade la Malwarebytes Premium: Da, merită 5 motive pentru upgrade la Malwarebytes Premium: Da, merită versiunea gratuită a Malwarebytes este minunată, versiunea premium are o grămadă de caracteristici utile și valoroase. Citeste mai mult !

Explorați mai multe despre: Jargon, Malware, Malware modular, Troian Horse.