Τρίτη, 15 Σεπτεμβρίου, 08:23
Αρχική security Νέος KBOT ιός εισάγει κακόβουλο κώδικα σε Windows αρχεία και κλέβει data!

Νέος KBOT ιός εισάγει κακόβουλο κώδικα σε Windows αρχεία και κλέβει data!

Ακούτε τον όρο “Ιός” (virus) αντί για malware μετά από πολύ καιρό !! Ναι, ακούτε σωστά. Οι ερευνητές ανακάλυψαν ένα νέο κύμα κακόβουλης καμπάνιας που ονομάζεται “KBOT” που εισάγει κακόβουλο κώδικα στα εκτελέσιμα αρχεία των Windows.

Τον περιγράφουν ως ένα ζωντανό ιό που τα τελευταία χρόνια εξαπλώνεται σε ευρεία κλίμακα μέσω μολυσμένου εξωτερικού drive, του τοπικού network και του Internet για να αναπαράγει τον εαυτό του τροποποιώντας άλλα προγράμματα ηλεκτρονικών υπολογιστών χρησιμοποιώντας τον δικό του κώδικα.

Η επιτυχής “μόλυνση” θα επιβραδύνει το σύστημα μέσω της έγχυσης της διαδικασίας του συστήματος και θα πάρει τον πλήρη έλεγχο του συστήματος απομακρυσμένα, θα κλέψει προσωπικά δεδομένα τα οποία θα χρησιμοποιήσει για να κλέψει τα τραπεζικά δεδομένα των χρηστών.

Το KBOT επίσης μεταφορτώνει πρόσθετα modules με ικανότητες κλοπής για τη συλλογή κωδικών πρόσβασης / logins, δεδομένων cryptowallet, λιστών αρχείων και εγκατεστημένων εφαρμογών και την αποστολή σε servers C2.

KBOT

Πώς μολύνει ο KBOT ιός

Η διαδικασία του infection από τον ιό KBOT αρχίζει επιθετικά με αναπαραγωγές σε ένα τοπικό δίκτυο και εξαπλώνεται γρήγορα σε άλλον υπολογιστή, μολύνοντας τα εκτελέσιμα αρχεία χωρίς καμία πιθανότητα ανάκτησης.

Το KBOT μολύνει άμεσα όλα τα αρχεία EXE, συμπεριλαμβανομένων των κατατμήσεων HDD, των εξωτερικών μέσων, των network drives και των network φακέλων, χρησιμοποιώντας τον κακόβουλο κώδικα.

Το KBOT προσθέτει τα κρυπτογραφημένα δεδομένα (χρησιμοποιώντας τη μέθοδο XOR) στο τέλος των παρακάτω αρχείων .rsrc, .data, .rdata και τα κρυπτογραφημένα δεδομένα περιέχουν το “σώμα” της κύριας μονάδας malware (βιβλιοθήκη δυναμικής σύνδεσης (DLL)), καθώς και κώδικα για την αποκρυπτογράφηση.

Επίσης, μπορεί να λειτουργήσει στο πλαίσιο των εφαρμογών του συστήματος και να προσπαθήσει να μολύνει τον κώδικα στην τρέχουσα διαδικασία.

Προσπάθεια hijacking DLL

Το KBOT malware κάνει μια προσπάθεια hijacking DLL, μολύνοντας τα δυαδικά αρχεία συστήματος όταν κάνει εκκίνηση το σύστημα.

Ο ιός αναζητά ειδικά εκτελέσιμα αρχεία EXE κατάλληλα για την επίθεση στον φάκελο του συστήματος C: \ Windows \\ System32. Στην συνέχεια κάνει αλλαγές στα δικαιώματα των αρχείων, στα ονόματα και στο είδος τους.

Για να αποκτήσουν απομακρυσμένη πρόσβαση στο σύστημα, οι hackers που βρίσκονται πίσω από το KBOT δημιουργούν αντίστροφες συνδέσεις με τους servers που βρίσκονται στην λίστα του αρχείου BC.ini.

Ο ιός έλαβε επίσης αρκετές εντολές από τον server C2 που διαχειρίζεται ο εισβολέας.

  • DeleteFile – διέγραψε το συγκεκριμένο αρχείο.
  • UpdateFile – update στο συγκεκριμένο αρχείο.
  • UpdateInjects — update στο ini.
  • UpdateHosts — update στοini.
  • UpdateCore — update στην κύρια λειτουργική μονάδα bot και το αρχείο διαμόρφωσης kbot.ini.
  • Uninstall — απεγκατάσταση του malware.
  • UpdateWormConfig — update στο worm.ini που περιέχει πληροφορίες σχετικά με τη θέση των αρχείων EXE που πρόκειται να μολυνθούν.

Επίσης, ο ιός διαμορφώνει τις ρυθμίσεις του Remote Desktop Server για να δημιουργήσει πολλές ταυτόχρονες περιόδους σύνδεσης χρησιμοποιώντας το πρωτόκολλο RDP.

“Επιτρέπει στους χειριστές του να ελέγχουν το compromised σύστημα απομακρυσμένα, να κλέβουν προσωπικά δεδομένα και να κλέβουν τα τραπεζικά δεδομένα των χρηστών”, δήλωσε ο ερευνητής της Kaspersky.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

iPhone 12: Όλα όσα πρέπει να γνωρίζετε για το νέο μοντέλο της Apple

Η φετινή κυκλοφορία του νέου iPhone 12 είναι η πιο παράξενη στην πρόσφατη ιστορία της Apple και δεν έχει καν ξεκινήσει. Η...

Tips για την δημιουργία ενός ισχυρού password

Όλοι μας χρησιμοποιούμε πολλές διαφορετικές εφαρμογές όπως το Facebook, το Twitter, το Gmail και το Instagram. Ως εκ τούτου πρέπει να θυμόμαστε...

Η ByteDance αρνείται να πουλήσει τον κωδικό του TikTok

Η δημιουργός εταιρεία του δημοφιλούς TikTok, η ByteDance, η οποία εδρεύει στην Κίνα, δήλωσε ότι δεν σκοπεύει να πουλήσει τον αλγόριθμό της...

Ransomware: Αυτό το ουσιαστικό βήμα θα μπορούσε να σας σώσει

Νέα συμβουλή από το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο (NCSC) παροτρύνει τις επιχειρήσεις να δημιουργήσουν ένα σχέδιο αντιμετώπισης συμβάντων - ακόμη και...

COVID-19 και Κυβερνοασφάλεια: Στατιστικά στοιχεία

Εννέα στα 10 domain για τον COVID-19 είναι scam. Μισό εκατομμύριο λογαριασμοί Zoom πωλούνται στο Dark Web. Οι επιθέσεις brute-force αυξήθηκαν κατά...

Xfce 4.16: Aνακοινώθηκε η πρώτη pre1 beta έκδοση

Σήμερα, το Xfce είναι ένα από τα πιο γνωστά περιβάλλοντα εργασίας για λειτουργικά συστήματα βασισμένα στο Linux....

Η Grab έλαβε ξανά πρόστιμο για παραβίαση απορρήτου

Μία μονάδα της Grab Holdings, η GrabCar, που έχει έδρα της τη Σιγκαπούρη, έλαβε ένα πρόστιμο 10.000 δολαρίων για παραβίαση προσωπικών δεδομένων,...

IBM προς ΗΠΑ: Περιορίστε τα data των συστήματων facial recognition

Η IBM ζήτησε από το Υπουργείο Εμπορίου των ΗΠΑ να περιορίσει τα export των συστημάτων facial recognition (αναγνώρισης προσώπου), ιδίως σε χώρες...

NuTyX 11.6: Κυκλοφόρησε με υποστήριξη για Flatpak πακέτα

Το NuTyX Linux είναι μια Γαλλική διανομή, η οποία δημιουργήθηκε ως κομμάτι του έργου “Linux From Scratch”....

Artech: Η IT staffing εταιρεία υπέστη data breach λόγω ransomware επίθεσης

Η Artech Information Systems, μία από τις μεγαλύτερες IT staffing εταιρείες των ΗΠΑ, αποκάλυψε ότι υπέστη data breach, το οποίο προκλήθηκε ύστερα...