Tento malvér s názvom Bateleur sa používa s phishingovými e-mailami naplnenými makro, ktoré umožňujú útočníkom robiť snímky obrazovky, kradnúť heslá a ďalšie.
Notoricky známa hackerská skupina je späť s novou metódou distribúcie trójskeho malvéru s cieľom vytvoriť zadné vrátka do sietí reštauračných reťazcov v USA.
Bezpečnosť
- 8 návykov vysoko bezpečných vzdialených pracovníkov
- Ako nájsť a odstrániť spyware z telefónu
- Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
- Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej
Výskumníci nazvali Bateleur - podľa plemena orla - v Proofpointe kto to odhalil, sa predpokladá, že ide o prácu skupiny Carbanak, ktorá zameriava svoje útoky na firemné ciele.
Skupina ukradla viac ako 1 miliardu dolárov z bánk po celom svete a predpokladá sa, že je za radom ďalších útokov.
Carbanak sa v minulosti zameral na pohostinské organizácie vrátane maloobchodníkov, obchodných služieb a dodávateľov. Tentokrát sa však pokúša infiltrovať reťazové reštaurácie cez zadné vrátka do ich systémov Windows, čo skupine umožňuje robiť snímky obrazovky, kradnúť heslá, vykonávať príkazy a ďalšie.
Aby sa zvýšila šanca na infekciu bez toho, aby bola odhalená, je to Javascript backdoor sprevádzané novými makrami, antianalytickými nástrojmi a technikami vyhýbania sa sandboxu, ktoré ho pomáhajú maskovať činnosť.
Ako pri mnohých kybernetických útokoch, phishingový e-mail sa používa na prilákanie cieľa. Správa je odoslaná z adresy Outlooku alebo Gmailu a tvrdí, že obsahuje informácie o predtým diskutovanom šeku v priloženom dokumente programu Word.
Príloha tvrdí, že dokument je zašifrovaný a chránený službou „Outlook Protect Service“ alebo „Google Documents Protect Service“ v závislosti od e-mailovej adresy odosielajúcej správu. V oboch prípadoch sa na kvapkadle dokumentov JScript objavujú mená autentických antivírusových spoločností, aby nalákali obeť na falošný pocit bezpečia.
Ak je používateľ oklamaný, aby umožnil úpravy dokumentu, dokument pristúpi k škodlivému obsahu pomocou série naplánovaných úloh v snahe vyhnúť sa odhaleniu.
Výskumníci opisujú, že Jscript má „robustné schopnosti“ vrátane funkčnosti anti-sandbox a anti-analytického zmätku. Je tiež schopný získať informácie o infikovanom systéme, zobraziť zoznam spustených procesov, vykonať vlastné príkazy a skripty PowerShell, odinštalovať sa a aktualizovať a urobiť snímky obrazovky.
Teoreticky môže Bateleur tiež preniknúť heslá, hoci táto konkrétna inštrukcia vyžaduje dodatočný modul z príkazového a riadiaceho servera, aby fungovala. V súčasnosti malvér nemá niektoré funkcie potrebné na to a nemá záložné servery, ale výskumníci očakávajú, že budú pridané v blízkej budúcnosti - najmä vzhľadom na pretrvávajúci charakter útočníkov.
Spoločnosť Proofpoint identifikovala Carbanaka ako páchateľov tejto kampane s "vysokým stupňom istoty" kvôli niektorým výrečným znakom.
Po prvé, podobné správy boli odoslané rovnakým cieľom, pričom sa pokúšali doručiť správy obsahujúce GGLDR, škodlivý skript spojený s malvérom VBScript od Carbanak.
Po druhé, Bateleur si všimol sťahovanie in-memory DLL injection downloader skriptu Meterpreter s názvom TinyMet a následne ho skupina opakovane použila.
Výskumníci tiež poznamenávajú, že nástroj na zachytávanie hesiel Powershell, ktorý používa Bateleur, obsahuje knižnicu dynamických odkazov identickú s knižnicou, ktorá je vložená do vzoriek GGLDR.
„Zadné vrátka Bateleur JScript a nové makrodokumenty sa zdajú byť najnovšími v rozširujúcej sa súprave nástrojov skupiny, ktoré poskytujú nové prostriedky infekcie a ďalšie spôsoby skrývania. ich činnosť a rastúce schopnosti kradnúť informácie a vykonávať príkazy priamo na počítačoch obetí,“ uviedli výskumníci spoločnosti Proofpoint Matthew Mesa a Darien Huss. blogový príspevok.
PREČÍTAJTE SI VIAC O KYBERZločine
- Ruská bezpečnostná firma popiera spojenie s Carbanakom Trojanom
- Najnovšia chyba od Chipotle bolí vašu peňaženku, nie žalúdok [CNET]
- Wendy's pripúšťa, že hacknutie kreditných kariet je oveľa horšie, ako sa pôvodne zdalo
- Cybercrime Inc: Ako sa hackerské gangy modelujú podľa veľkých podnikov
- „Neviditeľný“ malvér skrytý v dôveryhodnom softvéri, ktorý preniká do podnikov po celom svete [TechRepublic]