Η IBM Security X-Force αναφέρεται σε ένα νέο είδος κακόβουλου λογισμικού κλοπής πληροφοριών, με την κωδική ονομασία CoreBot, με το οποίο οι ερευνητές ασφαλείας του ήρθαν σε επαφή καθώς μελετούσαν δραστηριότητες κακόβουλου λογισμικού σχετικά με τα endpoint των επιχειρήσεων.
Αυτά τα endpoint των επιχειρήσεων προστατεύονται από το σύστημα της IBM Trusteer Advanced Malware Protection, η οποία επέτρεψε στους μηχανικούς ασφαλείας να παρεμποδίσουν και να ανακόψουν αυτό το νέο είδος απειλής.
Ανάλυση σε βάθος μιας επίθεσης CoreBot
Σύμφωνα με τα ευρήματά τους, η διήθηση πραγματοποιείται μέσω ενός dropper agent, ο οποίος όταν φτάσει στον υπολογιστή του θύματος, εκτελείται, ξεκινώντας «μια διαδικασία svchost προκειμένου να γράψει το malware αρχείο στο δίσκο και, στη συνέχεια, να το τρέξει.”
Αυτή η διαδικασία παράγει επίσης ένα καθολικά μοναδικό αναγνωριστικό (GUID), που χρησιμοποιείται «για να καθορίσει την εμμονή του μέσω ενός κλειδίου Run στο Windows Registry.»
Σε αυτό το στάδιο, μόνο η κύρια μονάδα CoreBot είναι παρούσα στον υπολογιστή του θύματος.
Αυτή η ενότητα του πυρήνα επικοινωνεί μέσω τυχαίων πεδίων που δημιουργούνται command-and-control (C & C) servers, αμέσως μετά τη ρύθμιση του κλειδιού μητρώου, ζητώντας οδηγίες.
Ο διακομιστής C & C τότε θα το εφοδιάσει με νέες παραγγελίες, και τα plugins για να εκτελεστούν αυτά τα tasks.
Το CoreBot μπορεί να κατεβάσει άλλα κακόβουλα προγράμματα ακόμη και να ενημερώνεται μόνο του.
“Χρησιμοποιώντας το Windows PowerShell, την αυτοματοποίηση εργασιών και διαχείριση του πλαισίου διάρθρωσης της Microsoft, το CoreBot μπορεί να φέρει και άλλα κακόβουλα προγράμματα από το Internet, να τα κατεβάσετε και να τα εκτελέσει σε μολυσμένα PC,” λένε οι ερευνητές της IBM.
Η ίδια διαδικασία χρησιμοποιείται επίσης από CοreBot για την ενημέρωση του εαυτού του.
Στις περισσότερες περιπτώσεις που παρατηρούνται από την ομάδα της IBM, το CοreBot στοχεύει ευαίσθητες πληροφορίες στον υπολογιστή του θύματος, χρησιμοποιώντας ένα plugin που ονομάζεται Stealer.
Αυτό το plugin ήταν ιδιαίτερο ενδιαφέρον στην απόκτηση κωδικών πρόσβασης από περιηγητές, FTP clients, εφαρμογές ηλεκτρονικού ταχυδρομείου, Webmail λογαριασμούς, ιδιωτικά πιστοποιητικά, πορτοφόλια cryptocurrency, και πιστοποιήσεις από διάφορα άλλα λογισμικά της επιφάνεια εργασίας.
Οι ερευνητές ασφάλειας της IBM αναφέρουν ότι CοreBot είναι «προς το παρόν ανίκανο να υποκλέψει σε πραγματικό χρόνο δεδομένα από Web browsers» και οι περισσότερες μηχανές antivirus το εντοπίζουν μέσα από γενικές ονομασίες, όπως Dynamer!ac και Eldorado.
