Sikkerhed forskere afsløret, at en række af de igangværende angreb ved hjælp af EngineBox malware målretter mod pengeinstitutter i Brasilien. Hackerne bruger ondsindede spam-meddelelser til at narre selskaberne i at inficere deres værter med den farlige trussel.
Hvordan EngineBox Malware inficerer dens ofre
Den Enginebox malware inficerer primært via e-mails at udnytte social engineering tricks. Den såkaldte “phishing e-mails” Ordningen indebærer, at koordineringen af skabelon-baserede meddelelser, der sendes til medarbejdere i de finansielle institutioner. Hvis de interagerer med eventuelle indlejrede links eller vedhæftede filer et script er aktiveret som downloader virus instans til deres lokale computere.
Analytikerne opdagede, at denne i tilfælde af Enginebox malware sker ved hjælp af et VBS script der henter en anden script fra en hacker-kontrolleret websted. Dette starter en foruddefineret sæt af kommandoer, der fører til den faktiske infektion. Denne flere trin lange infektion rute er designet til at forvirre anti-virus-løsninger i tilfælde begynder de at spore scripts. Ved hjælp af denne bounce-typen angreb visse scanning motorer kan omgås.
Hackerne forsøge at hæve privilegier den downloadede fil ved hjælp en udnytte kendt som MS16-032 der arbejder med stort set alle moderne versioner af Microsoft Windows-operativsystemet. De kriminelle bruger denne gamle sikkerhedsproblem, der bruger en fejl i den måde, den sekundære Logon tjeneste håndterer anmodninger.
EngineBox Malware Capabilities
De cyber sikkerhed analytikere, der afdækket den EngineBox malware har været i stand til at foretage en tilbundsgående undersøgelse af truslen s infektion flow. Det har vist sig, at det er indkapslet i flere krypterede lag. Dette betyder, at de fleste af de anti-virus løsninger kan ikke være i stand til at identificere indgående eller aktive infektioner. Når ofrene hente den binære fil til deres computer virus motoren startes.
I øjeblikket hacker eller kriminelle kollektiv bag det er rettet mod de største brasilianske finansielle institutioner, som omfatter både private og offentlige banker. Der foreligger ingen oplysninger om identiteten af bygherren eller hackere, der bruger det. Det er muligt, at malware er blevet udviklet af dem fra bunden.
Som et resultat af infektionen i Enginebox malware er i stand til at inficere computere med en bred vifte af virus-moduler. En af de vigtigste komponenter i truslen er dens browser hijacker funktion. Denne del af koden er designet til at infiltrere de mest populære webbrowsere, Herunder: Mozilla Firefox, Safari, Internet Explorer, Google Chrome, Microsoft Edge eller Opera. Dette gøres med henblik på at omdirigere brugere til en hacker-defineret adresse. Normalt vigtige indstillinger ændres for at afspejle denne ændring: standard startside, nye faner side eller søgemaskine.
De kriminelle bag flykaprer komponenter har udtænkt dem på en måde, der effektivt udtrække private oplysninger. Listen omfatter gemte cookies, bogmærker, historie, indstillinger, adgangskoder, formular-data og kontooplysninger. Alt dette videresendes til de hackere via en sikker forbindelse.
Den Enginebox malware er også i stand til at infiltrere andre klientprogrammer såsom FTP klienter og remote desktop software. Som virussen er rettet mod virksomhedens netværk er det meget sandsynligt, at de kriminelle kan få legitimationsoplysninger mod kritisk infrastruktur og databaser.
Når infektioner er blevet udført på klientmaskinerne malware motor etablerer en netværksforbindelse med hackere at informere dem om den succesfulde infiltration. Følgende aktiviteter er gennemført:
- EngineBox malware høst følsomme systemoplysninger. Dette omfatter hardwarekomponenter, software information og liste over kørende processer. Afhængigt af konfigurationen af de tilfælde virus kan stoppe visse programmer, ændre indstillingerne til Windows eller forkæl dig ind i andre tilknyttede aktioner.
- Ændring af essentielle indstillinger kan gøres gennem Windows registreringsdatabasen, foruddefinerede kommandoer eller andre midler.
- EngineBox har vist sig at anlægge en bagdør instans, der gør det muligt for hackere at overtage kontrollen af computerne. Når dette er gjort de kriminelle har en altid-on mulighed for at udspionere brugernes aktiviteter. De kan bruge en keylogger til at stjæle passwords fra alle former for web services - fra e-mails til netbank.
- Enginebox malware kan bruges til at hacke sig ind andre netværkscomputere ved hjælp af den samme hard-kodet exploit-kode.
- Hackerne bag de inficerede maskiner til at indføre yderligere malware på dem.
EngineBox malware Banking Angreb
En af de funktioner, der er forbundet med denne virus er, at det er i stand til effektivt at høste legitimationsoplysninger fra netbank. Dette gøres ved at udnytte flere metoder. En af dem er afhængig af evnen til at overvåge ofre handlinger forbundet med en foruddefineret liste over lokaliteter. Hver gang et websted på listen er adgang virussen begynder aktivt at lede efter mønstre relateret til brugernavn og adgangskoder.
De opdagede prøver er i stand til at etablere en lokal proxy-server, der omdirigerer al trafik til en hacker-kontrollerede C&C websted. Flere af de indsamlede prøver udstillingsvindue, at malware styres via en IRC-kanal. Dette giver en meget fleksibel måde for de kriminelle operatører til at instruere maskinerne og modtage data.
En sådan adfærd gør det muligt for kriminelle operatører til at udleje de inficerede maskiner eller høste store databaser med information. Eksperterne vurderer angrebet så alvorlig som virus er beregnet til virksomheder og ikke regelmæssige slutbrugere. Den EngineBox malware er lavet på en sådan måde, der omgår sikkerhedssystemer. Dette gør den til en meget effektivt våben i hænderne på en kriminel kollektiv.
Computerbrugere kan beskytte sig mod potentielle indtrængen og fjerne aktive infektioner ved at ansætte en kvalitet anti-spyware løsning.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: