Sicherheitsforscher fanden heraus, dass eine Reihe von laufenden Angriffen mit den EngineBox Malware zielen Finanzinstitute in Brasilien. Der Hacker verwendet bösartige Spam-Nachrichten, die Unternehmen zu täuschen in ihre Wirte mit der gefährlichen Bedrohung zu infizieren.
Wie EngineBox Malware Infiziert seine Opfer
Die Enginebox Malware infiziert hauptsächlich über E-Mail-Nachrichten dass nutzen Social-Engineering-Tricks. Die sogenannte “Phishing-E-Mails” Schema beinhaltet die Koordination der Template-basierte Nachrichten, die an die Mitarbeiter der Finanzinstitute gesendet werden. Wenn sie interagieren mit allen eingebetteten Links oder Dateianhänge ein Skript aktiviert, die das Virus Instanz zu ihrem lokalen Computer herunterlädt.
Die Analysten festgestellt, dass im Fall von Enginebox Malware dies einen VBS-Skript erfolgt über die herunterlädt ein anderes Skript von einem Hacker-gesteuerte Website. Das startet einen vordefinierten Satz von Befehlen, die die tatsächlichen Infektion führen. Diese mehrere Schritte lange Infektionsweg ist so konzipiert, Anti-Virus-Lösungen für den Fall verwechseln sie beginnen, die Skripte zu verfolgen. Mit diesem Bounce-Typ Angriff bestimmter Scan-Engines umgangen werden kann.
Der Hacker versucht, die Privilegien der heruntergeladenen Datei zu erhöhen, indem ein Exploit verwendet bekannt als MS16-032 die mit nahezu allen modernen Versionen des Microsoft Windows-Betriebssystem funktioniert. Die Kriminellen diese alte Sicherheitslücke verwenden, die einen Fehler in der Art und Weise verwendet der sekundäre Anmeldedienst verarbeitet Anforderungen.
EngineBox Malware-Funktionen
Die Cyber-Sicherheitsanalysten, die den EngineBox Malware entdeckt konnten eine eingehende Untersuchung über die Drohung der Infektion Fluss machen. Man hat herausgefunden, dass es in mehreren verschlüsselten Schichten gekapselt. Dies bedeutet, dass die meisten der Anti-Virus-Lösungen nicht in der Lage sein können, ein- oder aktive Infektionen zu identifizieren. Sobald die Opfer die Binärdatei auf ihren Computer herunterladen, ist die Virus-Engine gestartet.
Im Moment der Hacker oder kriminelle Kollektiv dahinter die größten brasilianischen Finanzinstitute zielt, die sowohl privaten und öffentlichen Banken umfasst. Keine Informationen über die Identität des Entwicklers oder Hacker zur Verfügung, die es verwendet. Es ist möglich, dass die Malware, indem sie von Grund auf neu entwickelt wurde,.
Als Folge der Infektion ist die Enginebox Malware Lage, die Computer mit einer Reihe von Virus-Module zu infizieren. Eine der wichtigsten Komponenten der Bedrohung ihrer Browser-Hijacker Funktion. Dieser Teil des Codes ist für die meisten gängigen Web-Browser zu infiltrieren, Inklusive: Mozilla Firefox, Safari, Internet Explorer, Google Chrome, Microsoft Edge oder Opera. Dies wird getan, um die Benutzer in einem Hacker-definierte Adresse zu umleiten. In der Regel wichtige Einstellungen werden geändert, um diese Änderung widerzuspiegeln: die Standard-Startseite, Neue Tabs Seite oder Suchmaschinen.
Die Kriminellen hinter den Entführer Komponenten haben sie in einer Weise entwickelt, die effektiv private Informationen extrahieren. Die Liste enthält gespeicherte Cookies, Lesezeichen, Geschichte, Einstellungen, Passwörter, Formulardaten und Kontoinformationen. All dies wird über eine sichere Verbindung an den Hacker weitergeleitet.
Die Enginebox Malware ist auch in der Lage zu infiltrieren andere Client-Programme wie FTP-Clients und Remote-Desktop-Software. Da das Virus Corporate Networks zielt ist es sehr wahrscheinlich, dass die Kriminellen Zugangsdaten für kritische Infrastrukturen erhalten und Datenbanken.
Sobald die Infektion auf den Zielcomputern der Malware-Engine durchgeführt wurde eine Netzwerkverbindung mit den Hackern sie die erfolgreichen Infiltration zu informieren. Folgende Aktivitäten werden durchgeführt,:
- Die EngineBox Malware erntet sensitive Systeminformationen. Dazu gehören Hardware-Komponenten, Software Informationen und Liste laufenden Prozesse. Je nach Konfiguration der Instanzen kann das Virus bestimmte Programme stoppen, ändern Windows-Einstellungen oder frönen in andere damit zusammenhängende Aktionen.
- Änderung der wesentlichen Einstellungen können über die Windows-Registrierung durchgeführt werden, vordefinierte Befehle oder andere Mittel,.
- EngineBox wurde eine Backdoor-Instanz einzuleiten gefunden, die die Hacker die Kontrolle über den Computer übernehmen können. Wenn dies geschehen ist die Verbrecher haben eine Always-On-Option für die Nutzer-Aktivitäten der Spionage. Sie können einen Keylogger verwenden, um Passwörter zu stehlen aus allen Arten von Web-Service - von E-Mail zu Online-Banking.
- Enginebox Malware kann verwendet werden, in andere Netzwerkcomputer zu hacken, indem den gleichen hartcodiert unter Verwendung von Code ausnutzen.
- Der Hacker hinter den infizierten Rechnern auf sie, um zusätzliche Malware einzuleiten.
EngineBox Malware Banking Angriffe
Eines der Merkmale mit diesem Virus assoziiert ist, dass es in der Lage ist Anmeldeinformationen effektiv zu ernten von Online-Banking. Dies wird durch die Verwendung mehrerer Methoden erfolgen. Einer von ihnen beruht auf der Fähigkeit Opfer Aktionen mit einer vordefinierten Liste von Websites verbunden zu überwachen. Jedes Mal, wenn eine Site aus der Liste das Virus zugegriffen beginnt aktiv nach Mustern zu Benutzername und Passwort-Kombinationen mit Bezug zu schauen.
Die entdeckten Proben sind in der Lage einen lokalen Proxy-Server einzurichten, die den gesamten Datenverkehr zu einem Hacker-gesteuerte C umleitet&C-Website. Einige der gesammelten Proben zeigen, dass die Malware über einen IRC-Kanal gesteuert wird,. Dies stellt eine sehr flexible Art und Weise für die kriminellen Betreiber, die Maschinen zu beauftragen und die Daten empfangen.
Ein solches Verhalten erlaubt die kriminellen Betreiber die infizierten Maschinen zu vermieten oder große Datenbanken von Informationen ernten. Die Experten bewerten den Angriff so schwer wie die Viren für Unternehmen gedacht sind und nicht regelmäßig Endanwendern. Die EngineBox Malware ist in einer solchen Art und Weise hergestellt, die Sicherheitssysteme umgeht. Dies macht es zu einer sehr wirksamen Waffe in den Händen eines kriminellen Kollektivs.
Computer-Nutzer können sich vor möglichen Eindringlingen schützen und aktive Infektionen entfernen, indem Sie eine hochwertige Anti-Spyware-Lösung unter Verwendung von.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: