Malware-ul mascat se ascunde in spatele mișcării mouse-ului, spun expertii

Cercetătorii de la firma de securitate FireEye au descoperit o nouă amenințare persistentă avansată (APT), care utilizează multiple tehnici de evaziune de detectare, inclusiv monitorizarea clicurilor de mouse determină interacțiunea umană activă cu computerul infectat.

Se numește Trojan.APT.BaneChant, malware-ul este distribuit printr-un document Word cu un exploit trimis în timpul atacurilor direcționate prin e-mail. Numele documentului se traduce în "Jihadul Islamic".

"Noi suspectăm că acest document armefic a fost folosit pentru a viza guvernele din Orientul Mijlociu și Asia Centrală", a declarat cercetătorul de la FireEye, Chong Rong Hwa, într-un post pe blog.

[Citire suplimentară: Cum să eliminați programele malware de pe PC-ul dvs. de Windows]

Atac de mai multe etape

Atacul funcționează în mai multe etape. Documentul rău intenționat descarcă și execută o componentă care încearcă să determine dacă mediul de operare este virtualizat, cum ar fi un sandbox antivirus sau un sistem de analiză automată a malware-ului, așteptând să vadă dacă există o activitate a mouse-ului înainte de a începe a doua etapă de atac. > Monitorizarea clicurilor pe mouse nu este o tehnică nouă de detectare a evaziunii, însă malware-ul care o folosește în trecut a fost verificat în general pentru un singur clic al mouse-ului, a spus Rong Hwa. BaneChant așteaptă cel puțin trei clicuri de mouse înainte de a proceda la decriptarea unei adrese URL și a descărca un program backdoor care se maschează ca un fișier de imagine.jpg

Malware-ul utilizează și alte metode de evaziune de detectare. De exemplu, în prima etapă a atacului, documentul rău intenționat descarcă componenta dropper de la o adresă URL ow.ly. Ow.ly nu este un domeniu rău intenționat, ci este un serviciu de scurtare a adreselor URL.

Rațiunea din spatele acestui serviciu este de a ignora serviciile de listare neagră a URL-urilor active pe calculatorul vizat sau în rețeaua sa, a spus Rong Hwa. (A se vedea, de asemenea, "Serviciu de scurgere a spam-urilor.gov în aplicații la domiciliu".

În mod similar, în timpul celei de-a doua etape a atacului, fișierul malitios.jpg este descărcat dintr-o adresă URL generată cu dinamica No-IP Serviciu DNS (Domain Name System)

După ce a fost încărcat de prima componentă, fișierul.jpg creează în folderul "C: ProgramData Google2 \" o copie de sine numită GoogleUpdate.exe. la fișierul din folderul de pornire al utilizatorului, pentru a se asigura executarea acestuia după fiecare repornire a calculatorului.

Aceasta este o încercare de a înșela utilizatorii să creadă că fișierul face parte din serviciul de actualizare Google, un program legitim care este în mod normal instalat în cadrul programului "C: Program Files Google Update", a spus Rong Hwa.

Programul backdoor reunește și încarcă informații de sistem înapoi la un server de comandă și control și sprijină mai multe comenzi, inclusiv unul pentru a descărca și a executa fișiere suplimentare pe computerele infectate.

În timp ce tehnologiile de apărare avansează, malware-ul e de asemenea spune Rong Hwa. În acest caz, malware-ul a folosit un șir de trucuri, printre care evitarea analizei sandbox-urilor prin detectarea comportamentului uman, evitarea tehnologiei de extracție binară la nivel de rețea, prin criptarea XBOR multibyte a fișierelor executabile, masquerading ca proces legitim, codul malitios încărcat direct în memorie și prevenirea listei negre a domeniului automatizat prin utilizarea redirecționării prin scurtarea adreselor URL și prin serviciile DNS dinamice, a afirmat el.