Троян с Gootkit Bank принес масштабную кибератаку на Италию

12 Апр. 2019 г.kate
Подробнее о 360 Total Security

Недавно 360 total security обнаружил крупномасштабную кибератаку на Италию, масштаб кибератак продолжал расти за две недели после запуска 25 марта 2019 года. Тенденция роста покажена ниже:

Тенденция роста

Атака распространяется через фишинговое писмо, инструмент чата и т. Д. Злоумышленник обманывает пользователей с помощью тщательно разработанного документа. Когда пользователь открывает документ, содержащий вредоносный код, вирусный код из документа активируется, и загружаются последующий бэкдор и банковский троян, крадущий конфиденциальные данные у пользователей. Вредоносные документы, которые мы перехватили, называются привлекательными заголовками, такими как электронные счета, судебные уведомления и т. Д., их автором являются «VPS2day», некоторые из документов как ниже:

Вредоносные документы

Анализ образца документа

Злоумышленник замаскировал документ как «электронное вложение счета», «уведомление правоохранительных органов Неаполя», «электронный инвойс ARSIAL» и т. Д., используя любопытство жертвы, чтобы заставить пользователя открыть документ, несущий злонамеренный код. Кроме того, в документе также используется социальная инженерия, чтобы заставить пользователей нажимать «включить контент» для выполнения переносимого макровируса.Документ, несущий злонамеренный код

Макровирус, переносимый документом, обфусцируется кодом, кодовая логика обфускатора показана на следующем рисунке: Кодовая логика обфускатора

Мы оптимизировали скрипт powershell без обфускации. Видно, что скрипт является трояном-загрузчиком. Он загрузит Dke.exe (банковский троян) и SearchI32.js (бэкдор) в каталог Temp.

Трояном-загрузчиком

SearchI32.js

Образец также обфусцирован, де-обфусцированный код показан ниже:

 де-обфусцированный код

 

Обфусцированный код как ниже, основной функцией являются загрузка и расшифровка выполнения SearchI32.txt.

 Обфусцированный код

SearchI32.txt — это основной модуль управления бэкдором. Он проверяет, что выполнение проводит ли в виртуальной машиной VirtualBox или VMware. Если это так, он не будет запускать последующую вирусную логику, а обнаруживать текущие региональные настройки пользовательского интерфейса и исключать Россию, Украину, Белоруссию, Китай и другие регионы. При безопасной операционной среды в системном каталоге запуска создается ярлык для включения загрузки. Затем информация о версии текущей системы собирается и отправляется на сервер C & C для получения последующих команд управления бэкдором, наконец, команды управления, возвращаемые сервером, анализируются, и соответствующие операции выполняются согласно инструкциям. Логика связанного кода, как показано ниже:

Логика связанного кода

Dke.exe

Dke.exe является известным банковским трояном Gootkit, и в новой версии используется много обфускаторов кода. После запуска вируса два слоя расшифровываются для получения окончательного образа Gootkit и его выполнения. Во-первых, расшифруется первый слой шеллкода:

Расшифруется первый слой шеллкода

Расшифруется второй слой шеллкода для расшифровки образа Gootkit и его выполнения.

Расшифруется второй слой шеллкода

Gootkit — один из самых совершенных банковских троянов. Он активно работает в Европе, Италии, Англии и других странах, крадет конфиденциальную информацию о потребителях и бизнес-пользователях онлайн-банкинга.

Совет по безопасности

  1. Хакеры часто используют любопытство пользователев, чтобы использовать различные технологии, связанные с социальной инженерией, и побудит жертв открывать свои тщательно сконструированные документы, программы и т. Д., которые содержают вредоносный код. Мы рекомендуем пользователям не открывать неизвестного происхождения файлы без определения безопасности.
  2. 360 Total Security исправляет данный троян. Пользователи могут скачать его на www.360totalsecurity.com

 360 Total Security обнаружил данный троян

 

 

Подробнее о 360 Total Security