U FireEye vjeruju da se exploit-om „naoružani“ dokument koristi u napadima na vlasti Bliskog istoka i Centralne Azije.
Napad se odvija u nekoliko faza
Maliciozni dokument preuzima i izvršava komponentu koja pokušava da ustanovi da li je operativno okruženje virtualno (antivirusnim sandbox-om ili sistemom za automatsku analizu malware-a), čekajući bilo kakvu aktivnost miša prije nego što započne drugu fazu napada.
Ovo nije nova tehnika za izbjegavanje detekcije, ali malware-i koji su je do sada koristili obično bi čekali jedan jedini klik mišem. Ovaj Trojanac čeka najmanje tri klika mišem prije nego što dekodira URL i preuzme backdoor program koji je maskiran kao .JPG fajl.
Malware koristi i druge tehnike.
Tijekom prve faze napada, maliciozni fajl preuzima dropper komponentu sa ow.ly URL-a, koja nije maliciozna domena već servis za skraćivanje linkova. Razlog za korištenje ovog servisa je da se izbjegnu servisi sa „crnim listama“ URL-ova koji su aktivni na napadnutom računalu.
Iz istog razloga, tijekom druge faze napada, maliciozni .JPG fajl se preuzima s URL-a generiranog s NO-IP dinamičkim DNS servisom.
Nakon učitavanja prve komponente, .JPG fajl ostavlja svoju kopiju nazvanu GoogleUpdate.exe u „C:\Program Files\Google\Update\”.
Backdoor program prikuplja i šalje podatke o sistemu serveru za komandu i kontrolu (C&C). On podržava i nekoliko komandi uključujući i onu za preuzimanje i izvršenje dodatnih fajlova na zaraženom računalu.
Trojanac BaneChant i njemu slični malware-i pokazuju da evolucija malicioznih programa u stopu prati napredak obrambene tehnologije.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.