Защити свои аккаунты качественными и приватными прокси форматов IPv4 и IPv6! - Proxy-seller

Хакеры доставляют банковские вредоносные программы через защищенный паролем ZIP-файл

FRANKENSTEIN

Ученый

ZIPFile.png

Хакеры продолжают использовать новые методы, чтобы избежать обнаружения антивируса и других продуктов безопасности. На этот раз они начали использовать ранее сообщенную и широко используемую технику спецификации.

Ранее российские хакерские группы использовали этот метод для изменения файла hosts в системах Windows. Метка порядка байтов дополнительно помогает группам акторов угрозы оставаться под радаром.

исследователи Касперского обнаружили новую кампанию, которая зависит от целевого фишинга копья, доставляющего поврежденные файлы в папку "Входящие" жертвы.

Инфекционный процесс
Когда пользователь пытается открыть ZIP - файл с помощью проводника по умолчанию, он аварийно завершает работу и показывает следующую ошибку.

1560885154566.png

"Вместо обычного заголовка ZIP, начинающегося с подписи" PK " (0x504B), у нас есть три дополнительных байта (0xEFBBBF), которые представляют собой метку порядка байтов (BOM), обычно встречающуюся в текстовых файлах UTF-8. Некоторые инструменты не распознают этот файл как формат ZIP-архива, но вместо этого распознают его как текстовый файл UTF-8 и не извлекают вредоносную полезную нагрузку”, - говорится в блоге Kaspersky .

Но те же файлы могут быть открыты через сторонние утилиты, такие как WinRAR и 7-Zip. Как только файл извлечен, вредоносная программа get выполняется и запускает процесс заражения. Атака в первую очередь нацелена на пользователей, использующих сторонние утилиты.

1560885267511.png

Вредоносный исполняемый файл действует как загрузчик для загрузки основной полезной нагрузки, встроенной в раздел основного ресурса.

Источником вредоносного ПО является DDL с функцией BICDAT, зашифрованной алгоритмом XOR. Затем библиотека загружает второй этап полезной нагрузки, который является защищенным паролем ZIP-файлом.

Загруженное содержимое полезной нагрузки шифруется теми же функциями, что и встроенная полезная нагрузка. После извлечения всех необходимых файлов, конечная полезная нагрузка запускается с банковской Rat вредоносных программ .

Вредоносная программа RAT ищет следующую информацию на зараженном компьютере.
  • Знак
  • Код карты доступа
  • День рождения
  • Пароль учетной записи
  • Пароль интернет-банка
  • Электронная подпись
Banking-Rat-Malware.png

Indicators of compromise

Код:
087b2d745bc21cb1ab7feb6d3284637d
3f910715141a5bb01e082d7b940b3552
60ce805287c359d58e9afd90c308fcc8
c029b69a370e1f7b3145669f6e9399e5
 
Сверху Снизу