Шпионский софт «CyberDuck» для пользователей рекламного бизнеса Facebok

Konstant213

Пользователь
Сообщения
65
Реакции
76
Баллы
28
Недавно компания 360 Total Security обнаружила разновидность хакерского трояна для пользователей рекламного бизнеса Facebok. Такие трояны распространяются через загрузчики, инструменты для взлома и т. Д. Пострадавшие пользователи в основном находятся в России, Украине и других странах.
44393

После заражения компьютера троянец CyberDuck ворует такую информацию, как пароль учетной записи бизнес-пользователя, открывшего службу ADS Facebook.

Технический анализ

Согласно выводам 360 Total Security, вирус в основном передается через загрузчик.Так как все описания файлов загрузчика — «Cyberduck», мы называем этот троян Cyberduck, атрибуты файла покпжены на следующем:
44394
Интерфейс запуска программного обеспечения показан ниже:
44395
После завершения загрузки программа не выйдет, а автоматически загрузит и запустит другие фоновые вирусы, которые загружают троянец с http [:] // www.rulifer.pw/x/seescenicelfx.exe и завершают выполнение. Seescenicelfx.exe расшифрует сжатый файл 7z в памяти и извлечет файл help.dll из каталога% ProgramData% \\ fb. Соответствующая кодовая логика выглядит следующим образом:
44396
атем загружена функция экспорта Test () help.dll:
44397
Help.dll загрузит update.dll и загрузит функцию экспорта Test ():
44398
Update.dll встраивает динамическую библиотеку SharpX.dll, написанную на языке .NET, поэтому она загружает среду выполнения .NET в процесс перед запуском и инициализирует функции-члены в классе SharpX.AppInstance для вызова SharpX.dll:
44399
После получения информации о файлах cookie браузера SharpX.dll создаст новый поток для выполнения функции DoWorker (), запросит информацию о конфигурации учетной записи Facebook с сервера, подделав запрос https, а затем сопоставит возвращаемые данные с информацией, требуемой автором вируса. Запрос и украденная информация показаны в следующей таблице:
44400
Вирус будет определять, открыла ли учетная запись Facebook службу ADS Manager и связывает ли информацию о кредитной карте, поэтому мы делаем вывод, что вирус предназначен главным образом для коммерческих пользователей, которые настраивают рекламу в Facebook, когда вирус определяет, что эти учетные данные принадлежат бизнес-пользователям. Вызывает BHGetChromePass (), чтобы украсть пароль учетной записи Facebook, соответствующая логика кода выглядит следующим образом:
44401
Наконец, вирус отправляет собранную информацию на сервер C & C после шифрования AES:
44402
360 Total Security обнаружил этот тип трояна, мы рекомендуем, чтобы затронутые пользователи установили 360 Total Security для завершения избавления вируса:
44403
источник: секретный-софт-cyberduck-для-пользователей-рекламного-бизнеса-Facebok
 
Сверху Снизу