Kötü amaçlı yazılım yeni altyapı ve saldırı yöntemleriyle sarsıldı.
Bilgi hırsızlığı ve kripto para birimi hırsızlığı için yapılandırılmış kötü amaçlı yazılım olan PsiXBot'un yeni bir çeşidi, Google'ın HTTPS hizmeti üzerinden DNS'sini kötüye kullanan vahşi doğada tespit edildi.
PsiXBot, ilk kez 2017'de keşfedilen nispeten yeni bir kötü amaçlı yazılım türüdür. .NET'te yazılan kötü amaçlı kod, bir dizi testten geçmiştir. değişimler ve evrimlerProofpoint araştırmacılarına göre en son yükseltme bazı çok ilginç değişiklikler içeriyor.
Güvenlik
- Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
- Telefonunuzdaki casus yazılımları bulma ve kaldırma
- En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
- Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?
Spam kampanyaları aracılığıyla ve Spleevo ve RIG-v istismar kitlerinde bir yük olarak yayılan kötü amaçlı yazılım, Rusça konuşanlar olmadığı sürece kullanıcıları hedef alıyor.
PsiXBot daha önce NameCoin kripto para birimiyle ilişkili, özel DNS sunucusu ayarları gerektiren .bit alan adlarına bağlanmıştı. Kötü amaçlı yazılım ayrıca onaltılık kod kullanır
minik.cc Sistem kontrolüyle başlayan enfeksiyon komutları gönderen ayrı komut ve kontrol (C2) sunucuları için DNS isteklerini gerçekleştirmeye yönelik bağlantılar.Bir makinenin bulaşmaya uygun olduğu düşünülürse, parola çalan, çerez çalan, keylogger gibi kötü amaçlı yazılım modülleri çalıştırılır. ve Bitcoin, Etherium, Monero gibi kripto para birimleri için cüzdanlar için kullanılan kimlik bilgilerinin bulunduğu panoyu izleyen bir süreç. Dalgalanma.
Ayrıca bakınız: Telnet arka kapı güvenlik açıkları bir milyondan fazla IoT radyo cihazını etkiliyor
PsiXBot ayrıca çevrimiçi formlara gönderilen bilgileri alabilir ve Microsoft Outlook aracılığıyla giden spam'i kurbanın e-posta adresini alır, gönderilen kötü amaçlı e-postaların izlerini gizlice siler ve kendisini virüslü bir sistem.
İçinde geçen haftaki blog yazısıProofpoint, kötü amaçlı yazılımın artık birkaç yeni özellik içerdiğini söyledi. Özellikle en son sürüm olan v.1.0.3, Google'ın DNS sorgularını paketleyen bir protokol olan HTTPS üzerinden DNS (DoH) hizmetinin tanıtımını içeriyor şifrelenmiş HTTPS trafiği olarak düz metin yerine.
Yararlanma kitlerinde veri yükü görevi gören bazı örnekler, sabit kodlu C2 alanlarının DoH ile çözümlendiği yeni tekniği kullanır.
Proofpoint, "Google'ın DoH hizmetini kullanarak, saldırganların DNS sorgusunu HTTPS'nin arkasındaki C&C alanına gizlemesine olanak tanıyor" diyor. "SSL/TLS, Ortadaki Adam (MitM) tarafından denetlenmediği sürece, C&C sunucusuna yapılan DNS sorguları fark edilmeyecektir."
CNET: Gizlilik günahlarından dolayı asla kullanmamanız gereken 7 Android VPN uygulaması
Ayrıca yeni örnekler, altyapıda, güvenliği ihlal edilmiş ana bilgisayar ağlarını kullanarak DNS girişlerini değiştirmeye yönelik bir yöntem olan Fast Flux'a geçiş yapıldığını da ortaya çıkardı. Bu yapı, hem standart DNS sorguları hem de DoH aracılığıyla C2 etki alanı yanıtlarında bulunmuştur.
PsiXBot ayrıca yeni bir saldırı modülüyle donatıldı. "PornModule" olarak kodlanan yazılım büyük olasılıkla seks istismarı için kullanılıyor. Araştırmacılar, PornModule'un açık pencereleri izleyeceğini ve anahtar kelimeleri sözlük formatında saklanan bir listeyle karşılaştıracağını söylüyor. Eşleşmeler bulunursa, kötü amaçlı yazılım sesli ve görsel bilgileri kaydetmeye başlayacaktır.
Bu kayıtlarla donanmış olan kötü amaçlı yazılım operatörlerinin mağdurlara şantaj ve şantaj yapma girişiminde bulunması mümkündür.
TechRepublic: En iyi 5 şifre alternatifi
Kötü amaçlı yazılım kalıcılığını koruyabilir, kurbanlara şantaj yapabilir ve çeşitli bilgileri çalabilir; kazançlı kripto para birimi endüstrisi - yoğun talep görüyor ve bu nedenle PsiXBot operatörlerinin ürünlerini geliştirmeye devam etmelerini bekleyebiliriz. Yaratılış.
Proofpoint, "Bu kötü amaçlı yazılım aktif olarak geliştirilme aşamasındadır ve gelişmeye devam etmektedir" diyor. "Aktör, dahil edilen modüllerin özellik kümesini ve bu kötü amaçlı yazılımın genel yeteneklerini genişleterek, veya geliştirilmesinin arkasındaki ekip, piyasadaki diğer benzer kötü amaçlı yazılımlarla özellik benzerliği arıyor gibi görünüyor."
2018'in en tehlikeli Android ve iOS güvenlik kusurlarının çoğu hâlâ mobil güvenliğinizi tehdit ediyor
Önceki ve ilgili kapsam
-
Siber güvenlik: E-posta saldırılarının %99'u kurbanların bağlantıları tıklamasına dayanıyor
-
Joker kötü amaçlı yazılımını içeren kötü amaçlı Android uygulamaları Google Play'de mağaza açıyor
-
Yeni keşfedilen siber casusluk amaçlı kötü amaçlı yazılım, Windows BITS hizmetini kötüye kullanıyor
Bir ipucunuz var mı? WhatsApp aracılığıyla güvenli bir şekilde iletişime geçin | +447713 025 499 veya Keybase üzerinden sinyal: charlie0