Stiekeme malware verschuilt zich achter muisbewegingen, zeggen experts

Onderzoekers van beveiligingsleverancier FireEye hebben een nieuwe geavanceerde persistente dreiging (APT) onthuld die gebruik maakt van meerdere detectietechnieken voor detectie, inclusief het volgen van muisklikken. bepalen actieve menselijke interactie met de geïnfecteerde computer.

genaamd Trojan.APT.BaneChant, de malware is gedistribueerd via een Word-document opgetuigd met een exploit verzonden tijdens gerichte e-mailaanvallen. De naam van het document vertaalt zich in "Islamic Jihad.doc."

"We vermoeden dat dit bewapende document werd gebruikt om de regeringen van het Midden-Oosten en Centraal-Azië te targeten," zei FireEye-onderzoeker Chong Rong Hwa maandag in een blogpost.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Meertrapsvals

De aanval werkt in meerdere fasen. Het schadelijke document downloadt en voert een onderdeel uit dat probeert vast te stellen of de besturingsomgeving een gevirtualiseerde is, zoals een antivirus-sandbox of een geautomatiseerd malware-analysesysteem, door te wachten om te zien of er enige muisactiviteit is voordat de tweede aanvalsfase wordt gestart.

Bewaking met muiskliks is geen nieuwe techniek om detecties te ontwijken, maar malware die het in het verleden gebruikte, werd doorgaans gecontroleerd op een enkele muisklik, aldus Rong Hwa. BaneChant wacht op ten minste drie muisklikken voordat hij doorgaat met het decoderen van een URL en het downloaden van een backdoor-programma dat zich voordoet als een.jpg-afbeeldingsbestand, zei hij.

De malware maakt ook gebruik van andere detectiemethoden voor detectie. Tijdens de eerste fase van de aanval downloadt het schadelijke document bijvoorbeeld de druppelcomponent van een ow.ly-URL. Ow.ly is geen kwaadaardig domein, maar is een URL-verkortingsservice.

De reden achter het gebruik van deze service is om URL-blacklistingservices die actief zijn op de doelcomputer of het netwerk te omzeilen, zei Rong Hwa. (Zie ook "Spammers misbruiken.gov URL-verkortingsservice bij thuiswerkwendingen."

Op dezelfde manier wordt tijdens de tweede fase van de aanval het kwaadaardige.jpg-bestand gedownload van een URL die is gegenereerd met de Dynamische No-IP Domain Name System (DNS) -service.

Nadat het.jpg-bestand door het eerste component is geladen, wordt er een kopie van zichzelf met de naam GoogleUpdate.exe in de map "C: ProgramData Google2 \" geplaatst. naar het bestand in de opstartmap van de gebruiker om ervoor te zorgen dat het wordt uitgevoerd na elke computer opnieuw wordt opgestart.

Dit is een poging gebruikers te laten geloven dat het bestand deel uitmaakt van de updateservice van Google, een legitiem programma dat normaal wordt geïnstalleerd onder "C: Program Files Google Update \", zei Rong Hwa.

Het backdoor-programma verzamelt en uploadt systeeminformatie terug naar een command-and-control server. Het ondersteunt ook verschillende commando's waaronder een om te downloaden en uit te voeren extra bestanden op de geïnfecteerde computers.

Naarmate verdedigingstechnologieën vordert, malware ook e Volumes, zei Rong Hwa. In dit geval heeft de malware een aantal trucs gebruikt, waaronder het ontwijken van sandbox-analyse door het detecteren van menselijk gedrag, het ontwijken van binaire extractietechnologie op netwerkniveau door het uitvoeren van multibyte XOR-codering van uitvoerbare bestanden, zich voordoen als een legitiem proces, het ontwijken van forensische analyse door fileless te gebruiken kwaadaardige code direct in het geheugen geladen en het automatisch blokkeren van domeinen op het zwarte netwerk voorkomen door omleiding via URL-verkorting en dynamische DNS-services te gebruiken, zei hij.