Jedna z nových taktík malvéru zahŕňa injekčnú techniku, ktorú ešte pred pár dňami vo voľnej prírode nevideli.
Bezpečnosť
- 8 návykov vysoko bezpečných vzdialených pracovníkov
- Ako nájsť a odstrániť spyware z telefónu
- Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
- Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej
Výkonná forma malvéru, ktorú možno použiť na distribúciu hrozieb vrátane trójskych koní, ransomvér a škodlivý softvér na ťažbu kryptomien bol aktualizovaný o novú techniku, ktorá bola zriedkavo videná vo voľnej prírode.
Distribuované v spamové e-mailové phishingové kampane, Smoke Loader je sporadicky aktívny od roku 2011, ale neustále sa vyvíja. Malvér bol počas roka 2018 obzvlášť zaneprázdnený, vrátane kampaní distribúcia Smoke Loader prostredníctvom falošných záplat pre Zraniteľnosť Meltdown a Spectre ktorý sa objavil začiatkom tohto roka.
Rovnako ako mnoho malvérových kampaní je počiatočný útok vedený prostredníctvom škodlivej prílohy programu Microsoft Word, ktorá oklame používateľov, aby to povolili makrá, ktoré umožňujú inštaláciu Smoke Loader na napadnutý systém a umožňujúce trójskemu koňovi dodať ďalší škodlivý softvér.
Výskumníci zo spoločnosti Cisco Talos už nejaký čas sledujú Smoke Loader a majú videl svoje najnovšie kampane v akcii. Jedným zo súčasných preferovaných užitočných zaťažení je TrickBot -- bankový trójsky kôň navrhnutý na odcudzenie poverení, hesiel a iných citlivých informácií. Phishingové e-maily distribuujúce malvér sú navrhnuté tak, aby vyzerali ako žiadosti o faktúry od softvérovej firmy.
Phishingový e-mail používaný na doručenie Smoke Loader.
Výskumníkov zaujalo, že Smoke Loader teraz používa injekčnú techniku, ktorá sa na distribúciu škodlivého softvéru nepoužívala až do r. len pred pár dňami. Technika vstrekovania kódu je známa ako PROPagate a bola prvýkrát opísaná ako potenciálny prostriedok kompromisu koncom minulého roka.
Táto technika zneužíva funkciu SetWindowsSubclass -- proces používaný na inštaláciu alebo aktualizáciu podtriedy okná bežiace v systéme -- a možno ich použiť na úpravu vlastností okien spustených v rovnakom systéme relácie. To sa dá použiť na vloženie kódu a zahodenie súborov a zároveň skryje skutočnosť, že sa to stalo, čo z neho robí užitočný a tajný útok.
Je pravdepodobné, že útočníci spozorovali verejne dostupné príspevky na PROPagate, aby znovu vytvorili techniku pre svoje vlastné škodlivé účely.
Pozri tiež: Čo je malvér? Všetko, čo potrebujete vedieť o vírusoch, trójskych koňoch a škodlivom softvéri
Tí, ktorí stoja za týmto procesom, tiež pridali techniky antianalýzy, aby skomplikovali forenznú analýzu, runtime AV skenery, sledovanie a ladenie, ktoré sa môžu pokúsiť na malvér vykonať ktorýkoľvek výskumník.
Aj keď stále existuje množstvo útokov Smoke Loader, ktorých cieľom je dodať ohrozeným systémom ďalší malvér, v niektorých prípadoch je malvér vybavený vlastnými zásuvnými modulmi, aby mohol priamo vykonávať svoj vlastný škodlivý softvér úlohy.
Každý z týchto doplnkov je navrhnutý tak, aby ukradol citlivé informácie, konkrétne uložené poverenia alebo prenášané citlivé informácie cez prehliadač – napríklad Firefox, Internet Explorer, Chrome, Opera, QQ Browser, Outlook a Thunderbird je možné použiť na krádež údajov.
Malvér môže byť dokonca vložený do aplikácií, ako je TeamViewer, čo potenciálne ohrozuje aj poverenia iných používateľov v rovnakej sieti ako infikovaný počítač.
Je možné, že Smoke Loader bol vybavený týmito úlohami, pretože jeho operátori momentálne nemajú veľa práce odpoveď na reklamy na tmavých webových fórach, ktoré propagujú ich schopnosť inštalovať iné typy malvéru do svojej ohrozenej siete stroje. Môže to byť tiež len prostriedok na využitie botnetu na vlastné účely.
V každom prípade to naznačuje, že organizácie musia zostať ostražité voči potenciálnym hrozbám.
„Videli sme, že trh s trójskymi koňmi a botnetmi neustále prechádza zmenami. Hráči neustále zlepšujú svoju kvalitu a techniku. Tieto techniky neustále upravujú, aby zlepšili svoje schopnosti obísť bezpečnostné nástroje. To jasne ukazuje, aké dôležité je uistiť sa, že všetky naše systémy sú aktuálne,“ napísali výskumníci Cisco Talos.
„Dôrazne odporúčame používateľom a organizáciám, aby dodržiavali odporúčané bezpečnostné postupy, ako je inštalácia bezpečnostných záplat hneď, ako sa stanú k dispozícii, pri prijímaní správ od neznámych tretích strán postupujte opatrne a zabezpečte, aby bolo k dispozícii robustné riešenie zálohovania offline miesto. Tieto praktiky pomôžu znížiť hrozbu kompromisu a mali by pomôcť pri obnove každého takéhoto útoku,“ dodali.
ČÍTAJTE VIAC O POČÍTAČOVEJ ZLOČINE
- Kybernetickí podvodníci našli nový spôsob zdieľania malvéru a podvodov
- Tento malvér zhromažďuje uložené poverenia v prehliadačoch Chrome a Firefox
- Táto falošná oprava Spectre/Meltdown infikuje váš počítač škodlivým softvérom (TechRepublic)
- Hackeri sa zameriavajú na reklamné siete, aby vložili skripty na ťažbu kryptomien
- Hackeri ukryli škodlivý kód do obľúbeného softvéru CCleaner (CNET)