Τρίτη, 26 Μαΐου, 03:35
Αρχική security Το malware Zeus Sphinx επωφελείται από τον κορωνοϊό και επανεμφανίζεται

Το malware Zeus Sphinx επωφελείται από τον κορωνοϊό και επανεμφανίζεται

Μετά από χρόνια αδράνειας, το malware Zeus Sphinx ανασταίνεται για να επωφεληθεί από την πανδημία του κορωνοϊού σε ένα νέο κύμα απάτης.

Τα email που υποστηρίζουν ότι γνωρίζουν το μυστικό σε νέες θεραπευτικές αγωγές, μηνύματα και τηλεφωνήματα από hackers που προσποιούνται ότι είναι επιχειρήσεις κοινής ωφέλειας και τράπεζες που επηρεάζονται από την αναπνευστική ασθένεια, καθώς και τα ψεύτικα προϊόντα που προλαμβάνουν την προσβολή από τον κορωνοϊό είναι μόνο μερικά από τα παραδείγματα των απατών. Μέχρι στιγμής οι απάτες με αφορμή τον κορωνοϊό που έχουν καταχωρηθεί φτάνουν τις 723.000.

Οποιαδήποτε κρίση που μπορεί να επωφεληθεί, αυξάνει το ενδιαφέρον των κυβερνοεγκληματιών και των απατεώνων, και τώρα, ένα malware που απουσίαζε για σχεδόν τρία χρόνια, ξεκίνησε και πάλι να κυκλοφορεί.

Τη Δευτέρα, η IBM X-Force δήλωσε ότι το Zeus Sphinx – επίσης γνωστό ως Zloader ή Terdot – έχει εντοπιστεί σε εκστρατείες που λανσαρίστηκαν τον Μάρτιο και επικεντρώνονται στις κρατικές ενισχύσεις.

Το Zeus Sphinx εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2015. Το malware εμφανίστηκε ως banking Trojan με βασικά στοιχεία κώδικα βασισμένα στο Zeus v2. Το malware στόχευε χρηματοπιστωτικά ιδρύματα σε ολόκληρο το Ηνωμένο Βασίλειο, την Αυστραλία, τη Βραζιλία και τις ΗΠΑ. Και τώρα, το Zeus Sphinx επανεμφανίστηκε με έμφαση στις ίδιες χώρες μέσω μιας νέας εκστρατείας με θέμα τον κορωνοϊό (coronavirus).

Οι ερευνητές δήλωσαν ότι το Zeus Sphinx εξαπλώνεται μέσω εκστρατειών ηλεκτρονικού “ψαρέματος” (phishing) που έχουν φορτωθεί με κακόβουλα αρχεία με το όνομα “COVID 19 relief”. Τα email ισχυρίζονται ότι πρέπει να συμπληρωθεί ένα έντυπο για να λάβετε ένα επίδομα αυτή την περίοδο που μένετε σπίτι και δεν δουλεύετε.  

Η συνημμένη φόρμα, κυρίως είτε οι μορφές αρχείου .DOC ή .DOCX, χρησιμοποιεί μια τυπική τεχνική για να αποκτήσει μια βάση/στήριγμα σε ένα σύστημα. Αν το κατεβάσετε και ανοίξει, το έγγραφο ζητά σας ζητά να ενεργοποιήσετε τις μακροεντολές, οι οποίες με τη σειρά τους ενεργοποιούν το payload Zeus Sphinx αφού κάνουν hijack τις διαδικασίες των Windows και έναν συνδεδεμένο command-and-control (C2) server που φιλοξενεί το malware.

Αφού εγκατασταθεί σε ένα compromised μηχάνημα, το Zeus Sphinx δουλεύει συνεχώς και επίμονα, γράφοντας δυναμικά σε πολλά αρχεία και φακέλους, καθώς και δημιουργώντας κλειδιά μητρώου. Το malware προσπαθεί επίσης να αποφύγει την ανίχνευση ως κακόβουλο λογισμικό χρησιμοποιώντας πιστοποιητικό που έχει υπογράψει αυτοπροσώπως.

Τα web injections είναι η ειδικότητα του malware και σε ορισμένες περιπτώσεις εξακολουθούν να βασίζονται στον κώδικα Zeus v2. Το Zeus Sphinx θα διορθώσει τις διεργασίες explorer.exe και του προγράμματος περιήγησης – συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται από τον Google Chrome και τον Mozilla Firefox – για τη λήψη injections όταν ένας χρήστης επισκέπτεται μια στοχευμένη σελίδα, όπως μια ηλεκτρονική πλατφόρμα τραπεζικών συναλλαγών. Ο κώδικας τροποποιεί αυτές τις σελίδες για να τους εξαπατήσει να παραδίδουν λεπτομέρειες ελέγχου ταυτότητας, οι οποίες στη συνέχεια συλλέγονται και αποστέλλονται στο C2 του malware.

Ωστόσο, το Zeus Sphinx περιέχει ένα εγγενές ελάττωμα, στο οποίο δεν υπάρχει καμία διαδικασία για το repatching των browser. Επομένως, εάν ένα πρόγραμμα περιήγησης προωθεί μια ενημερωμένη έκδοση, η IBM λέει ότι η λειτουργία web injection είναι “απίθανο να επιβιώσει”.

Η εκστρατεία είναι σε εξέλιξη και είναι μόνο από τις πολλές.

Χιλιάδες επικίνδυνα domain με θέμα τον COVID-19 έχουν εμφανιστεί τις τελευταίες εβδομάδες, και σε μερικές περιπτώσεις, οι κυβερνοεγκληματίες χρησιμοποιούν ενδιαφέρουσες μεθόδους για να εξαπατήσουν τα θύματα με στόχο να επισκέπτονται αυτά τα website. Οι ερευνητές του Bitdefender ανακάλυψαν πρόσφατα ότι τα router D-Link και Linksys έχουν δεχτεί επίθεση και οι ρυθμίσεις DNS τους μεταβάλλονται με στόχο να εξαπατήσουν τα θύματα να επισκεφθούν website που ασχολούνται με τον κορωνοϊό αλλά μεταφέρουν malware.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Bill Gates: Νέα θεωρία συνωμοσίας για το εμβόλιο του COVID-19

Νέα θεωρία συνωμοσίας θέλει τον Bill Gates να σχεδιάζει να χρησιμοποιήσει το εμβόλιο, που θα κατασκευαστεί για την καταπολέμηση του COVID-19, για...

Power Glove: Μετατράπηκε σε χειριστήριο modular synth!

Power Glove: μετατράπηκε σε χειριστήριο modular synth: O Sam Battle, βρήκε τον τρόπο να μετατρέψει το γάντι της Nintendo, σε «τηλεχειριστήριο» μουσικής,...

PowerToys: Κυκλοφόρησε η έκδοση 0.18 με δύο νέα εργαλεία

Στο συνέδριο Microsoft Build 2020, η Microsoft ανακοίνωσε τα PowerToys 0.18, τα οποία περιέχουν δύο νέα εργαλεία,...

Mozilla, Twitter και Reddit: Απαραίτητη η προστασία του ιστορικού αναζήτησης και περιήγησης των χρηστών

Μια ομάδα επτά εταιρειών Internet δεσμεύεται να υπερασπιστεί το απόρρητο των χρηστών της αυτή την εβδομάδα, όταν η Βουλή των Αντιπροσώπων των...

Το eBay port σαρώνει τα PC για προγράμματα remote access

Όταν επισκέπτεστε τον ιστότοπο eBay.com, θα τρέχει ένα script που εκτελεί σάρωση τοπικής θύρας του υπολογιστή σας για να εντοπίσει εφαρμογές απομακρυσμένης...

Παραβίαση σε τράπεζα οδήγησε σε διαρροή στοιχείων καρτών πελατών

Οι hackers πίσω από το Maze ransomware δημοσίευσαν δεδομένα καρτών πληρωμής που έκλεψαν από την Τράπεζα της...

Κυκλοφόρησε νέο Unc0ver jailbreak: Επηρεάζει την έκδοση iOS 13.5!

Μια ομάδα από hackers, ερευνητές ασφαλείας και μηχανικούς, η Unc0ver, κυκλοφόρησε ένα νέο jailbreak package για iOS...

Hacker πουλά τις βάσεις δεδομένων των Ledger, Trezor και KeepKey

Ο hacker που παραβίασε το φόρουμ Ethereum.org φέρεται να πουλά τις βάσεις δεδομένων για τα τρία πιο δημοφιλή hard wallets κρυπτογράφησης -...

Πλατφόρμα εκπαίδευσης EduCBA: Επαναφέραμε τα password σας

Ο διαδικτυακός ιστότοπος εκπαίδευσης EduCBA άρχισε να ενημερώνει τους πελάτες ότι επανέφεραν τους κωδικούς πρόσβασης μετά από παραβίαση δεδομένων.

Επιχειρήσεις: “Work From Home” ή “Work From Anywhere”;

Στην εποχή μας, στα περισσότερα επαγγέλματα οι εργαζόμενοι περνούν το μεγαλύτερο μέρος του χρόνου τους σε ένα γραφείο, μπροστά από έναν υπολογιστή....