Podstępne złośliwe oprogramowanie ukrywa się za ruchem myszy, mówią eksperci

Naukowcy z dostawcy zabezpieczeń FireEye odkryli nowe zaawansowane, trwałe zagrożenie (APT), które wykorzystuje wiele technik unikania wykrycia, w tym monitorowanie kliknięć myszą, do określić aktywną interakcję człowieka z zainfekowanym komputerem.

Nazywa się Trojan.APT.BaneChant, złośliwe oprogramowanie jest dystrybuowane za pośrednictwem dokumentu programu Word, który jest wyposażony w exploit wysyłany podczas ukierunkowanych ataków e-mailowych. Nazwa dokumentu przekłada się na "Islamski Dżihad.doc."

"Podejrzewamy, że ten uzbrojony dokument był używany do atakowania rządów Bliskiego Wschodu i Azji Środkowej", powiedział naukowiec FireEye, Chong Rong Hwa, w poście na blogu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Atak wielostopniowy

Atak działa na wielu etapach. Złośliwy dokument pobiera i wykonuje komponent, który próbuje określić, czy środowisko operacyjne jest wirtualizowane, takie jak obszar izolowania antywirusowego lub zautomatyzowany system analizy złośliwego oprogramowania, czekając na sprawdzenie aktywności myszy przed rozpoczęciem drugiego etapu ataku.

Monitorowanie kliknięć myszką nie jest nową techniką unikania wykrycia, ale złośliwe oprogramowanie korzystające z niej w przeszłości zostało sprawdzone pod kątem jednego kliknięcia myszy, powiedział Rong Hwa. BaneChant czeka na co najmniej trzy kliknięcia myszką, zanim podejmie się deszyfrowania adresu URL i ściągnie program backdoora, który podszywa się pod plik obrazu.jpg, powiedział.

Szkodnik wykorzystuje również inne metody unikania wykrycia. Na przykład podczas pierwszego etapu ataku złośliwy dokument pobiera komponent droppera z ow.ly URL. Ow.ly nie jest złośliwą domeną, ale jest usługą skracania adresów URL.

Uzasadnieniem korzystania z tej usługi jest ominięcie usług czarnych list adresów URL aktywnych na docelowym komputerze lub jego sieci, powiedział Rong Hwa. (Zobacz także "Usługa nadużywania adresów URL przez usługodawców spamujących.gov w oszustwach typu" praca w domu ".

Podobnie, podczas drugiego etapu ataku, złośliwy plik.jpg jest pobierany z adresu URL wygenerowanego przy użyciu dynamicznej wersji bez IP Usługa DNS (Domain Name System).

Po załadowaniu przez pierwszy komponent, plik.jpg upuszcza kopię o nazwie GoogleUpdate.exe w folderze "C: ProgramData Google2 \", a także tworzy link do pliku w folderze startowym użytkownika, aby zapewnić jego wykonanie po każdym ponownym uruchomieniu komputera.

Jest to próba skłonienia użytkowników do uwierzenia, że ​​plik jest częścią usługi aktualizacji Google, legalnego programu, który jest zwykle zainstalowany w "C: Program Files Google Update \", powiedział Rong Hwa.

Program backdoor zbiera i przesyła informacje systemowe z powrotem do serwera kontroli i kontroli, obsługuje także kilka poleceń, w tym jeden do pobrania i wykonania dodatkowe pliki na zainfekowanych komputerach.

Wraz z rozwojem technologii obronnych, złośliwe oprogramowanie również wolves, powiedział Rong Hwa. W tym przypadku złośliwe oprogramowanie wykorzystało wiele sztuczek, w tym unikanie analizy piaskownicy poprzez wykrywanie ludzkich zachowań, unikanie technologii binarnej ekstrakcji na poziomie sieci poprzez wykonywanie wielobajtowego szyfrowania XOR plików wykonywalnych, udając legalny proces, unikając analizy sądowej za pomocą bezsłownej złośliwy kod ładowany bezpośrednio do pamięci i zapobiegający automatycznej czarnej liście domen poprzez przekierowanie za pomocą skracania adresów URL i dynamicznych usług DNS, powiedział.