Πώς "γλιστράει" το Spymel Trojan από τα antivirus

Η Zscaler, ένας πωλητής προϊόντων ασφάλειας στον κυβερνοχώρο με έδρα τις ΗΠΑ, ανακάλυψε ένα νέο trojan, το οποίο εξαπλώνεται μέσω spam e-mail και χρησιμοποιεί ψηφιακά πιστοποιητικά για να μολύνει τους υπολογιστές και να περάσει απαρατήρητο από τα προϊόντα ασφάλειας.

 Ονομάζεται Spymel και αυτό το trojan φτάνει πρώτα στους υπολογιστές ως ένα συμπιεσμένο αρχείο που επισυνάπτεται σε e-mail.
 Αν κατέβει και αποσυμπιεστεί, το αρχείο ξεκινά να εκτελεί ένα αρχείο JavaScript που κατεβάζει και εγκαθιστά το πραγματικό εκτελέσιμο με το κακόβουλο λογισμικό, ένα .NET binary.
 Επειδή το archive file δεν περιέχει το κακόβουλο λογισμικό, τα προϊόντα antivirus αποτυγχάνουν να το ορίσουν ως επικίνδυνο. Επιπλέον, το .NET binary αποφεύγει την ανίχνευση με τη χρήση ενός ψηφιακού πιστοποιητικού (πιθανώς κλεμμένου) που έχει εκδοθεί μέσω DigiCert σε μια εταιρεία που ονομάζεται SBO INVEST.
 Η Zscaler αναφέρει ότι το πρώτο κύμα των Spymel μολύνσεων εντοπίστηκε στις αρχές του Δεκεμβρίου 2015. Μόλις η Zscaler ανέφερε την περίπτωση στην DigiCert και ανεκλήθη το πιστοποιητικό, η ομάδα πίσω από το Spymel ενημέρωσε γρήγορα το πιστοποιητικό της σε ένα διάστημα δύο βδομάδων, χρησιμοποιώντας ένα διαφορετικό πιστοποιητικό, το οποίο είχε εκδώσει, επίσης, στην SBO INVEST. Αυτό το τελευταίο πιστοποιητικό ανακλήθηκε αφότου η Zscaler το εντόπισε και ενημέρωσε την DigitCert.
 Όσο για τις πραγματικές δυνατότητές του, αυτό το Trojan είναι ένα κλασικό infostealer που μολύνει υπολογιστές, αναγνωρίζει τις hardware και software ρυθμίσεις τους, έρχεται σε επαφή με ένα C&C εξυπηρετητή και περιμένει οδηγίες για το τι να κλέψει.
 Σύμφωνα με την Zscaler, το Spymel μπορεί να παίρνει screenshots της επιφάνειας εργασίας του χρήστη, να πραγματοποιεί εγγραφή βίντεο της επιφάνειας εργασίας, να καταγράφει τι πληκτρολογείτε και να ανεβάζει τα κλεμμένα δεδομένα σε έναν απομακρυσμένο server.
 Επιπλέον, το Spymel μπορεί επίσης να λειτουργήσει σαν ένα malware payload downloader, που είναι σε θέση να τραβήξει και να ξεκινήσει άλλα αρχεία στο σύστημα, ενώ επιπλέον μπορεί να απεγκατασταθεί από μόνο του.
 Εκτός από τη χρήση ψηφιακών πιστοποιητικών για να κρυφτεί από το λογισμικό προστασίας από ιούς, το Spymel έχει και κάποια επιπλέον κόλπα στο μανίκι του. Το trojan έρχεται με μια ενότητα που ονομάζεται ProtectMe, η οποία, όταν είναι φορτωθεί, έχει τη δυνατότητα να εμποδίσει τον χρήστη από τον τερματισμό της διαδικασίας του κακόβουλου λογισμικού μέσω της εντολής taskkill shell command and tools, όπως τα Process Explorer, Task Manager και Process Hacker.
 Οι ερευνητές της Zscaler λένε ότι ο C&C εξυπηρετητής του Spymel βρίσκεται κάπου στη Γερμανία, στο android.sh (213.136.92.111), στη θύρα 1216. Πρόκειται ίσως για έναν μισθωμένο server, καθώς και η πραγματική τοποθεσία του ιδιοκτήτη του είναι κάπου αλλού.
 Το Spymel είναι το τέλειο στιγμιότυπο για το κακόβουλο οικοσύστημα του σήμερα, όπου πολλές φορές το κακόβουλο λογισμικό χρησιμοποιεί αρχεία αρχειοθέτησης boobytrapped με κώδικα JavaScript και ψηφιακά πιστοποιητικά για να κρυφτεί.


Πηγή: SecNews
Ετικέτες

Δημοσίευση σχολίου

[facebook][blogger]

MKRdezign

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Από το Blogger.
Javascript DisablePlease Enable Javascript To See All Widget