Ένα σφάλμα στο APT επιτρέπει την εγκατάσταση κακόβουλων πακέτων
infosec

Ένα σφάλμα στο APT επιτρέπει την εγκατάσταση κακόβουλων πακέτων

Ορισμένες δημοφιλείς διανομές Linux έχουν ένα σφάλμα στο package-management interface, το οποίο θα μπορούσε να χρησιμοποιήσει ένας εισβολέας για να...
Read More
infosec

15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες

Νωρίτερα αυτόν τον μήνα, η Google απομάκρυνε 85 κακόβουλες εφαρμογές από το Google Play Store. Ειδικότερα, μία παράνομη adware εφαρμογή...
Read More
infosec

Facebook «10 Year Challenge»: Κινδυνεύουν πράγματι τα δεδομένα σας;

Το τελευταίο διάστημα όλοι παρατηρήσαμε το νέο trend «10-Year Challenge» σε Facebook και Instagram. Αφού έγινε η νέα τάση ανάμεσα...
Read More
infosec

Το Malwarebytes έλυσε το σφάλμα «freezing» των συσκευών Windows 7

Η ομάδα του Malwarebytes επιτέλους έδωσε λύση στο σφάλμα που προκαλούσε πάγωμα σε συσκευές Windows 7! Το πρόβλημα εντοπίστηκε νωρίτερα...
Read More
infosec

Κορυφαίες Android VPN εφαρμογές διαρρέουν προσωπικά δεδομένα

Σύμφωνα με μία νέα μελέτη από VPN αξιολογητές, πάνω από 25% των 150 πιο δημοφιλών και δωρεάν VPNs στο Google...
Read More
Latest Posts

Με κλεμμένα πιστοποιητικά το Spymel Trojan αποφεύγει τα antivirus!

Η Zscaler, ένας πωλητής προϊόντων ασφάλειας στον κυβερνοχώρο με έδρα τις ΗΠΑ, ανακάλυψε ένα νέο trojan, το οποίο εξαπλώνεται μέσω spam e-mail και χρησιμοποιεί ψηφιακά πιστοποιητικά για να μολύνει τους υπολογιστές και να περάσει απαρατήρητο από τα προϊόντα ασφάλειας. Ονομάζεται Spymel και αυτό το trojan φτάνει πρώτα στους υπολογιστές ως ένα συμπιεσμένο αρχείο που επισυνάπτεται σε e-mail. Αν κατέβει και αποσυμπιεστεί, το αρχείο ξεκινά να εκτελεί ένα αρχείο JavaScript που κατεβάζει και εγκαθιστά το πραγματικό εκτελέσιμο με το κακόβουλο λογισμικό, ένα .NET binary.
Επειδή το archive file δεν περιέχει το κακόβουλο λογισμικό, τα προϊόντα antivirus αποτυγχάνουν να το ορίσουν ως επικίνδυνο. Επιπλέον, το .NET binary αποφεύγει την ανίχνευση με τη χρήση ενός ψηφιακού πιστοποιητικού (πιθανώς κλεμμένου) που έχει εκδοθεί μέσω DigiCert σε μια εταιρεία που ονομάζεται SBO INVEST.

Με κλεμμένα πιστοποιητικά το Spymel Trojan αποφεύγει τα antivirus!
Η Zscaler αναφέρει ότι το πρώτο κύμα των Spymel μολύνσεων εντοπίστηκε στις αρχές του Δεκεμβρίου 2015. Μόλις η Zscaler ανέφερε την περίπτωση στην DigiCert και ανεκλήθη το πιστοποιητικό, η ομάδα πίσω από το Spymel ενημέρωσε γρήγορα το πιστοποιητικό της σε ένα διάστημα δύο βδομάδων, χρησιμοποιώντας ένα διαφορετικό πιστοποιητικό, το οποίο είχε εκδώσει, επίσης, στην SBO INVEST. Αυτό το τελευταίο πιστοποιητικό ανακλήθηκε αφότου η Zscaler το εντόπισε και ενημέρωσε την DigitCert.
Όσο για τις πραγματικές δυνατότητές του, αυτό το Trojan είναι ένα κλασικό infostealer που μολύνει υπολογιστές, αναγνωρίζει τις hardware και software ρυθμίσεις τους, έρχεται σε επαφή με ένα C&C εξυπηρετητή και περιμένει οδηγίες για το τι να κλέψει.
Σύμφωνα με την Zscaler, το Spymel μπορεί να παίρνει screenshots της επιφάνειας εργασίας του χρήστη, να πραγματοποιεί εγγραφή βίντεο της επιφάνειας εργασίας, να καταγράφει τι πληκτρολογείτε και να ανεβάζει τα κλεμμένα δεδομένα σε έναν απομακρυσμένο server.
Επιπλέον, το Spymel μπορεί επίσης να λειτουργήσει σαν ένα malware payload downloader, που είναι σε θέση να τραβήξει και να ξεκινήσει άλλα αρχεία στο σύστημα, ενώ επιπλέον μπορεί να απεγκατασταθεί από μόνο του.
Εκτός από τη χρήση ψηφιακών πιστοποιητικών για να κρυφτεί από το λογισμικό προστασίας από ιούς, το Spymel έχει και κάποια επιπλέον κόλπα στο μανίκι του. Το trojan έρχεται με μια ενότητα που ονομάζεται ProtectMe, η οποία, όταν είναι φορτωθεί, έχει τη δυνατότητα να εμποδίσει τον χρήστη από τον τερματισμό της διαδικασίας του κακόβουλου λογισμικού μέσω της εντολής taskkill shell command and tools, όπως τα Process Explorer, Task Manager και Process Hacker.
Οι ερευνητές της Zscaler λένε ότι ο C&C εξυπηρετητής του Spymel βρίσκεται κάπου στη Γερμανία, στο android.sh (213.136.92.111), στη θύρα 1216. Πρόκειται ίσως για έναν μισθωμένο server, καθώς και η πραγματική τοποθεσία του ιδιοκτήτη του είναι κάπου αλλού.
Το Spymel είναι το τέλειο στιγμιότυπο για το κακόβουλο οικοσύστημα του σήμερα, όπου πολλές φορές το κακόβουλο λογισμικό χρησιμοποιεί αρχεία αρχειοθέτησης boobytrapped με κώδικα JavaScript και ψηφιακά πιστοποιητικά για να κρυφτεί.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *