Osnova kampanje je takozvana infekcija bez datoteka (fileless malware) jer nema datoteka koje se kopiraju na zaraženo računalo i na njemu izvode.
Umjesto toga infekcija se izvodi u sistemskoj radnoj memoriji zaraženog računala, što ju čini gotovo nemogućom za detekciju pomoću tradicionalnih rješenja za detekciju virusa i ostalih zloćudnih aplikacija.
Napadači se oslanjanju na legitimne komponente kao što je Windows PowerShell, kako bi Meterpreter payload ubacili direktno u radnu memoriju na zaraženom računalu.
Spominje se i udaljena kontrola zaraženog računala putem komandnog i kontrolnog poslužitelja i Microsoftovog NETSH alata.
PowerShell naredbe ubačene u Windows registar poslužile su za brisanje svih tragova infekcije u zaraženom računalu nakon njegova ponovnog pokretanja.
Glavni cilj kampanje je nadzor zaraženih računala u potrazi za osjetljivim osobnim podacima, ali i uspostavljanje kontrole nad bankomatima kako bi se oni potom mogli isprazniti. Istraga o ovoj kampanji je i dalje u tijeku, stoga će podaci u načinu kako je novac izvlačen iz bankomata biti objavljeni tek u travnju.
Prema Kaspersky Labu, ova kampanja je prisutna u Europi, SAD-u, Južnoj Americi i Africi. Najviše slučajeva infekcije zabilježeno je u SAD-u, Francuskoj, Ekvadoru, Keniji, Velikoj Britaniji i Rusiji.
Valja napomenuti kako je ova infekcija u srodstvu s poznatim Stuxnet crvom pa se može zaključiti da je takav sofisticirani zloćudni softver izašao iz domene državnog cyber ratovanja te se sada sve više upotrebljava i u kriminalnom podzemlju.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.