Les analystes de sécurité ont détecté une nouvelle campagne d'attaque qui se concentre sur l'Ukraine portant une nouvelle arme dangereuse - les logiciels malveillants Vermin. Selon les rapports publiés c'est une version fortement mise à jour du Quasar cheval de Troie qui a encore été personnalisé avec un code personnalisé. Le code dangereux permet aux criminels de dépasser le contrôle total des appareils compromis.
Le Malware Vermin Has Been Unleashed
Une campagne d'attaque récente contre les dispositifs situés en Ukraine a conduit à la découverte d'un nouveau malware dangereux appelé Vermin. Les chercheurs qui ont détecté les infections soulignent qu'il est une fourchette du Quasar cheval de Troie qui contient beaucoup d'améliorations du code et des ajouts personnalisés. Cela en fait une arme redoutable en raison du fait qu'il ne soit pas directement associée aux modèles de comportement de Quasar et le moteur d'origine des logiciels malveillants. L'attaque ciblée qui est fixé contre le pays est lié à deux scénarios de cas à l'étude. Le premier est lié au fait qu'il est possible que les opérateurs de pirates ont préconfigurés l'attaque à l'aide d'une liste toute prête de cibles. La deuxième proposition est attribuée au fait que le moteur peut extraire des informations détaillées sur les paramètres régionaux. En utilisant les informations acquises le moteur malware peut se déclencher si elle estime que les dispositifs sont viables compromis. Dans d'autres cas, il peut se supprimer pour éviter la détection.
Les attaques sont principalement initiées par des messages distribués par réseaux sociaux, l'une des principales tactiques consistait à utiliser divers faux profils Twitter et un lien vers documents infectés. Ils peuvent être de différents types, y compris: riches documents texte, présentations et feuilles de calcul. Les criminels derrière elle l'utilisation des techniques d'ingénierie sociale que les victimes dans le contraindre à interagir avec les fichiers. Ils sont faits pour que les documents semblent faits par ministère de la Défense du pays. Les fichiers contiennent un exécutable auto-extractible qui active le leurre code malveillant qui mène aux infections.
Vermin Malware Tactics Infiltration - Le processus Malware
Une fois que les infections ont commencé une une connexion sécurisée avec un serveur contrôlé hacker est établi. La chose intéressante est que les opérateurs utilisent le protocole SOAP au lieu de HTTP commun. Il est principalement utilisé pour échanger des informations structurées et l'une des raisons pour lesquelles il a été préféré est le fait que le logiciel de sécurité automatisé habituellement ne vérifie pas ce protocole car il ne peut pas être inclus dans les signatures standards. Une analyse détaillée montre que les campagnes en cours comportent différentes souches sur mesure. Tous sont construits à l'aide des paramètres variables qui peut rendre difficile l'élimination dans le cas où plusieurs infections ciblent le même réseau.
Les premiers contrôles qui sont faits après que les logiciels malveillants sont liés infectes aux paramètres régionaux. Le moteur malware est capable de créer un profil détaillé des dispositifs de la victime. Cela inclut à la fois de statistiques anonymes et données personnelles identifiables. La première catégorie est liée à des variables d'information matériel et système. Il est principalement utilisé par les opérateurs de pirates de juger comment les attaques sont efficaces. La deuxième catégorie est composée de données qui peuvent exposer directement l'identité de la victime. Il se compose de chaînes qui sont liées à leur nom, adresse, numéro de téléphone, Géolocalisation, les préférences et les informations d'identification de compte.
Les spécialistes indiquent que le code Vermin donne quatre langues d'entrée spécifiques: ru – russe, Royaume-Uni – ukrainien, ru-ru – Russe et uk-ua – ukrainien. Si l'un des contrôles passe l'infection continue plus. Les étapes de suivi sont liés au téléchargement des composants logiciels malveillants supplémentaires. Ils sont sous forme chiffrée et sont décryptés sur la volée, ainsi que bientôt exécutés après. Au cours de cette phase d'initialisation des pirates peuvent permettre à un protection furtive qui peut contourner les services de sécurité détectés. Cela comprend des bacs à sable, machines virtuelles et des environnements de débogage. Le moteur peut contourner les logiciels malveillants ou les supprimer selon les instructions intégrées. Dans certains cas, si elle constate qu'il est incapable de le faire, il peut se supprimer pour éviter la détection.
En plus de tout le reste les analystes ont découvert que la menace installe un keylogger. Il est intégré dans les différents processus malveillants et déguisa en Adobe Service d'imprimante. Le processus peut recueillir diverses informations - toutes les frappes, mouvement de la souris ou interactions individuelles telles que définies par les opérateurs. Les informations collectées sont cryptées et stockées dans un emplacement de dossier:
%AppData% Microsoft Proof Settings .{ED7BA470-8E54-465E-825C-99712043E01C}\profils .
Chaque fichier journal individuel est enregistré en utilisant le format suivant: "{0:JJ-MM-AAAA}.SMS".
Capacités Vermin Malware
Une fois le logiciel malveillant Vermin a accès à l'ordinateur et a infiltré les processus du système en raccordant pour eux et créer ses propres fils les modules permettent aux criminels de lancer une variété de commandes. Cela se fait à l'aide de la connexion réseau sécurisé spécial via le protocole SOAP cité. La liste complète comprend les options suivantes:
- ArchiveAndSplit - Archive des fichiers cible et Split en pièces
- CancelDownloadFile - Annuler un transfert de fichier en cours
- CancelUploadFile - Annuler un processus en cours Télécharger
- CheckIfProcessIsRunning - Contrôles Si un processus cible est en cours d'exécution.
- CheckIfTaskIsRunning - Interroge le système pour un processus spécifique de fonctionnement.
- Créer le dossier - Fait un nouveau dossier à l'emplacement spécifié
- Supprimer les fichiers - Supprime un fichier cible.
- Supprimer le dossier - Commandes du Malware pour supprimer un dossier Set.
- Télécharger un fichier - Récupère un fichier à partir d'un emplacement distant.
- GetMonitors - Les contrôles pour toutes les applications qui peuvent être la surveillance du système.
- GetProcesses - Récupère la liste des processus de course.
- KillProcess - Arrête les processus en cours.
- ReadDirectory - lire le contenu du répertoire cible.
- Renommer le fichier - Renommer des fichiers cible.
- RunKeyLogger - le module Exécute Keylogger.
- SetMicVolume - Le volume du microphone Permet de régler.
- ShellExec - Commandes fournis Exécute.
- Capture d'Accueil Audio - Permet la surveillance audio.
- StartCaptureScreen - Le module Active Capture d'écran.
- StopAudioCapture - La surveillance audio Invalide.
- StopCaptureScreen - Le module Capture d'écran Désactive.
- UpdateBot - Mise à jour du module en cours virus Vermin.
- Téléverser un fichier - Transfert d'un fichier vers le serveur de commande.
ont été trouvés les domaines suivants à être liés aux campagnes d'attaque jusqu'à présent:
akamaicdn[.]ru
cdnakamai[.]ru
www.akamaicdn[.]ru
www.akamainet066[.]infos
www.akamainet023[.]infos
www.akamainet021[.]infos
akamainet023[.]infos
akamainet022[.]infos
akamainet021[.]infos
www.akamainet022[.]infos
akamainet066[.]infos
akamainet024[.]infos
www.cdnakamai[.]ru
NotifyMail[.]ru
www.notifymail[.]ru
mailukr[.]net
tech-adobe.dyndns[.]biz
www.mailukr[.]net
185.158.153[.]222
94.158.47[.]228
195.78.105[.]23
94.158.46[.]251
188.227.75[.]189
212.116.121[.]46
185.125.46[.]24
5.200.53[.]181
Vermin suppression de virus
Les tactiques d'infection complexes qui sont associés au virus Vermin montre qu'il ne peut être enlevé en utilisant une qualité solution anti-spyware. Une fois que les infections ont eu lieu une analyse du système très complet qui donne suite le moteur des logiciels malveillants des informations détaillées sur la façon dont est configuré la machine compromise. Cela permet le cheval de Troie d'affecter tous les principaux composants du système d'exploitation. En tant que tels les opérateurs de pirates informatiques peuvent sceller des fichiers sensibles, espionner les victimes et utiliser les données récoltées à des fins de chantage et de fraude.
Nous vous recommandons vivement toutes les victimes pour lancer un balayage du système libre afin de vous assurer qu'ils sont en sécurité à l'aide d'une application de sécurité de confiance. La solution est également capable de sauvegarder les ordinateurs de toutes les attaques entrantes.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: