Bitcoin inwestorów zagrożone przez Orcus RAT kampanii

Computer Security News

Fortinet security eksperci odkryli, że twórcy dostępu zdalnego Trojan z kierowania Bitcoin inwestorów stara się korzystać z ostatnich skok w jej wartość.

Hakerzy Wyślij inwestorów phishingowych, reklamy nowe Bitcoin trading bot aplikacji “Gunbot”, tworzone przez GuntherLab lub Gunthy. Niemniej jednak co email zapewnia inwestorom zamiast tego, jest złośliwe Orcus RAT.

Wiadomości phishingowe zawierają. Załącznik pocztowy oferujący prosty skrypt VB opracowany aby pobrać binarne maskarada jako plik obrazu JPEG. Fortinet Naukowcy twierdzą, że hakerzy nie zrobił nawet próbować ukryć swoje intencje, ponieważ nie chcieli albo dlatego, że nie wiedzy technicznej, aby to zrobić.

Pobrany plik wykonywalny jest wersja Trojanized narzędziem systemu inwentaryzacji open source o nazwie System TTJ-zapasów. Klucz ustalony jest używany do odszyfrowania zakodowanych kod do innego programu wykonywalnego .NET PE, który jest załadowany i wykonany do pamięci.

Przez Sprawdzanie istnienia obiektu mutex o nazwie “dgonfUsV”, zagrożenie złośliwego zapewnia, że jest to tylko przykład, który jest uruchomiony na zainfekowanym komputerze.

Według firmy Fortinet moduł RunPE można wykonać moduły bez pisania je do systemu. Również jest zdolna do realizacji modułów pod legalnych plików wykonywalnych przez uruchamianie aplikacji w tryb zawieszenia i zastąpienie pamięci procesu złośliwego kodu po tym. Wykonując wielokrotnie malware, watchdog trwałości utrzymuje zagrożenie uruchomiona.

Oprócz wszystkich funkcji, które taki wniosek powinien zawierać, Orcus RAT można załadować wtyczki i wykonać C# i VB.net kod na komputerze zdalnym w czasie rzeczywistym.

“W zasadzie, jeśli składnik serwera pobiera ‘instalowany’ w systemie, osoba po drugiej stronie jest praktycznie przedniej części maszyny podczas widzenia i słyszenia, możesz w tym samym czasie – tak, może on aktywować mikrofonu i kamery nawet bez Twojej wiedzy,” Eksperci firmy Fortinet.

Ponadto Orcus jest w stanie wyłączyć wskaźnik na kamery do szpiegowania użytkowników i wdrażanie watchdog, który powoduje ponowne uruchomienie składników serwera. Poza tym jeśli użytkownik próbuje zabić proces, szczur może wywołać niebieski ekran śmierci (BSOD).

Również podobnie do wielu innych szczurów, Orcus zagrożenie odzyskiwania haseł funkcji i funkcjonalności klucz rejestracji. Dodatkowo malware oferuje plugin, który może służyć do wykonywania ataków Distributed Denial of Service (DDoS).

Eksperci bezpieczeństwa zauważył, że hakerzy dokonane pewne zmiany do treści strony internetowej dystrybucji Orcus RAT (bltcointalk.com, który próbuje naśladować Bitcoin forum bitcointalk.org). Poza tym usunęli wyżej wymienionego obrazu pliku z witryny sieci Web, zamiast wysyłania pliku ZIP.

Zespół firmy Fortinet również znalazł dodatkowe witryny sieci Web próbuje naśladować uzasadniony domen poprzez zmianę jednej litery w adresie URL. Dlatego eksperci sugerują, że hakerzy cyklu pomiędzy stronami internetowymi, podczas przełączania do nowej kampanii.


Leave a Reply

Your email address will not be published. Required fields are marked *