ΑρχικήsecurityEξελιγμένες παραλλαγές του malware Kivars στοχεύουν συστήματα 64-bit

Eξελιγμένες παραλλαγές του malware Kivars στοχεύουν συστήματα 64-bit

Kivars-MalwareΛόγω τις αυξανόμενης υιοθέτησης των συστημάτων 64-bit, οι συγγραφείς malware έχουν αρχίσει να προσαρμόζουν και να τροποποιούν τον κώδικα των λογισμικών τους ώστε να στοχεύει και τις συγκεκριμένες πλατφόρμες.

Νέες παραλλαγές του Kivars -ενός παλαιότερου malware το οποίο είχε γραφεί για συστήματα 32-bit- έχουν εντοπιστεί, φανερώνοντας την προτίμησή τους στις μηχανές 64-bit.

Ερευνητές ασφάλειας της Trend Micro ανέλυσαν ορισμένα δείγματα του κακόβουλου λογισμικού και διαπίστωσαν πολλά κοινά στοιχεία, αλλά και μικρές διαφορές, σε σχέση με τις εκδόσεις για 32-bit.

Η λειτουργικότητα παραμένει η ίδια: το Kivars διαθέτει επιλογές για download/υpload δεδομένων, εκτέλεση και χειρισμό αρχείων, κατάργηση της εγκατάστασης του κακόβουλου λογισμικού, υποκλοπή φωτογραφιών, ενεργοποίηση ή απενενεργοποίηση της ενσωματωμένης δυνατότητα logging, καθώς και έλεγχο του input από το ποντίκι και το πληκτρολόγιο.

Το malware δρα ως εξής:

Μετά την εκτέλεση κακόβουλου λογισμικού, το οποίο αναφέρεται ως TROJ_FAKEWORD.A, δύο εκτελέσιμα αρχεία και ένα έγγραφο του Word γίνονται download στα συστήματα των θυμάτων. Το έγγραφο του Word χρησιμοποιείται ως δόλωμα, καθώς φαίνεται αβλαβές με την πρώτη ματιά, στην πραγματικότητα όμως πρόκειται για ένα ακόμη εκτελέσιμο.

Οι τελευταίες παραλλαγές του κακόβουλου λογισμικού, βασίζονται σε μια τροποποιημένη έκδοση του αλγορίθμου RC4, η οποία ενσωματώνει ένα επιπλέον byte.

Η επικοινωνία με τους servers διαχείρισης και ελέγχου του malware (C&C) είναι επίσης διαφορετική, καθώς το νέο Kivars χρησιμοποιεί ένα κλειδί (key) που παράγεται από ένα τυχαίο πακέτο, και το οποίο προκαλεί την απάντηση του απομακρυσμένου υπολογιστή.

Στη συνέχεια, το malware αρχίζει να στέλνει στοιχεία για τα μολυσμένα συστήματα, όπως τη διεύθυνση IP, το hostname, την έκδοση του λειτουργικού συστήματος, την έκδοση του malware, τη διάταξη του πληκτρολογίου και τα πρόσφατα έγγραφα ή τους φακέλους στην επιφάνεια εργασίας.

Οι ερευνητές της Trend Micro αποκάλυψαν επίσης ότι οι κακόβουλοι φορείς που βρίσκονται πίσω από το Kivars, χρησιμοποιούν και το PoisonRAT, το οποίο ανήκει στην κατηγορία των remote access Trojans, στις καμπάνιες τους.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS