Троян с Gootkit Bank принес масштабную кибератаку на Италию

Konstant213

Пользователь
Сообщения
67
Реакции
78
Баллы
28
Недавно 360 total security обнаружил крупномасштабную кибератаку на Италию, масштаб кибератак продолжал расти за две недели после запуска 25 марта 2019 года. Тенденция роста показана ниже:
43374
Атака распространяется через фишинговое писмо, инструмент чата и. т. д. Злоумышленник обманывает пользователей с помощью тщательно разработанного документа. Когда пользователь открывает документ, содержащий вредоносный код, вирусный код из документа активируется, и загружаются последующий бэкдор и банковский троян, крадущий конфиденциальные данные у пользователей. Вредоносные документы, которые мы перехватили, называются привлекательными заголовками, такими как электронные счета, судебные уведомления и т. Д., их автором являются «VPS2day», некоторые из документов как ниже:
43375

Анализ образца документа

Злоумышленник замаскировал документ как «электронное вложение счета», «уведомление правоохранительных органов Неаполя», «электронный инвойс ARSIAL» и т. Д., используя любопытство жертвы, чтобы заставить пользователя открыть документ, несущий злонамеренный код. Кроме того, в документе также используется социальная инженерия, чтобы заставить пользователей нажимать «включить контент» для выполнения переносимого макровируса.
43376

Макровирус, переносимый документом, обфусцируется кодом, кодовая логика обфускатора показана на следующем рисунке:
43377

Мы оптимизировали скрипт powershell без обфускации. Видно, что скрипт является трояном-загрузчиком. Он загрузит Dke.exe (банковский троян) и SearchI32.js (бэкдор) в каталог Temp.

43378

SearchI32.js

Образец также обфусцирован, де-обфусцированный код показан ниже:

43380

Обфусцированный код как ниже, основной функцией являются загрузка и расшифровка выполнения SearchI32.txt.

43381

SearchI32.txt — это основной модуль управления бэкдором. Он проверяет, что выполнение проводит ли в виртуальной машиной VirtualBox или VMware. Если это так, он не будет запускать последующую вирусную логику, а обнаруживать текущие региональные настройки пользовательского интерфейса и исключать Россию, Украину, Белоруссию, Китай и другие регионы. При безопасной операционной среды в системном каталоге запуска создается ярлык для включения загрузки. Затем информация о версии текущей системы собирается и отправляется на сервер C & C для получения последующих команд управления бэкдором, наконец, команды управления, возвращаемые сервером, анализируются, и соответствующие операции выполняются согласно инструкциям. Логика связанного кода, как показано ниже:

43382

Dke.exe

Dke.exe является известным банковским трояном Gootkit, и в новой версии используется много обфускаторов кода. После запуска вируса два слоя расшифровываются для получения окончательного образа Gootkit и его выполнения. Во-первых, расшифруется первый слой шеллкода:
43383

Расшифруется второй слой шеллкода для расшифровки образа Gootkit и его выполнения.

43384

Gootkit — один из самых совершенных банковских троянов. Он активно работает в Европе, Италии, Англии и других странах, крадет конфиденциальную информацию о потребителях и бизнес-пользователях онлайн-банкинга.

Совет по безопасности

  1. Хакеры часто используют любопытство пользователев, чтобы использовать различные технологии, связанные с социальной инженерией, и побудит жертв открывать свои тщательно сконструированные документы, программы и т. Д., которые содержают вредоносный код. Мы рекомендуем пользователям не открывать неизвестного происхождения файлы без определения безопасности.
  2. 360 Total Security защитит от этого трояна. Пользователи могут скачать 360 Total Security на www.360totalsecurity.com
43385

источник: Троян-с-Gootkit-Bank-принес-масштабную-кибератаку-на-Италию
 

Вложения

Сверху Снизу