Sneaky zlonamjerni softver skriva iza pokreta miša, kažu stručnjaci

Istraživači sigurnosnog dobavljača FireEye otkrili su novu naprednu stalnu prijetnju (APT) koja koristi više tehnika zaobilaženja otkrivanja, uključujući praćenje klikova mišem utvrditi aktivnu ljudsku interakciju s zaraženim računalom.

Nazvan Trojan.APT.BaneChant, zlonamjerni softver se distribuira putem Word dokumenta opremljenog eksploatiranjem poslanom tijekom napada na ciljanu e-poštu. Naziv dokumenta prevodi se na "Islamic Jihad.doc".

"Sumnjamo da je ovaj oružani dokument bio korišten za ciljanje vlade Bliskog Istoka i Srednje Azije", rekao je u ponedjeljak objavljen istraživač tvrtke FireEye Chong Rong Hwa.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Višestrani napad

Napad radi u više faza. Zlonamjerna dokumentacija preuzima i izvršava komponentu koja pokušava utvrditi je li operativno okruženje virtualizirano, kao što je protuvirusni pješčanik ili automatizirani sustav za analizu zlonamjernog softvera, čekajući da vidite ima li aktivnost miša prije pokretanja druge faze napada.

Praćenje klikova mišem nije nova tehnika zaobilaženja otkrivanja, ali zlonamjerni softver koji ga upotrebljava u prošlosti općenito se provjerava za jedan klik miša, rekao je Rong Hwa. BaneChant čeka barem tri klikova mišem prije nego što nastavlja dešifrirati URL i preuzmi backdoor program koji se maskira kao slikovna datoteka.jpg.

Zlonamjerni softver također koristi druge metode zaobilaženja otkrivanja. Na primjer, tijekom prve faze napada, zlonamjerna dokumentacija preuzima komponentu kapaljke s ow.ly URL-a. Ow.ly nije zlonamjerna domena, ali je usluga skraćivanja URL-a.

Razlog za korištenjem ove usluge jest zaobilaženje usluga s crnim popisom URL-ova aktivnih na ciljanom računalu ili njegovoj mreži, rekao je Rong Hwa. (Vidi također "Spameri zlostavljaju.gov URL skraćivač usluga u radu kod kuće prijevare".

Slično tome, tijekom druge faze napada, zlonamjerna.jpg datoteka se preuzima s URL-a generiranog s No-IP dinamikom Servis domene (DNS).

Nakon učitavanja prve komponente, datoteka.jpg ispušta kopiju sebe nazvanu GoogleUpdate.exe u mapi "C: ProgramData Google2", a također stvara vezu na datoteku u korisničkoj mapi za pokretanje kako bi se osiguralo njegovo izvršavanje nakon svakog ponovnog pokretanja računala.

Ovo je pokušaj da korisnici uvjere u to da je datoteka dio Googleova ažuriranja, legitimnog programa koji je normalno instaliran pod "C: Program Files Google Update", rekao je Rong Hwa.

Povratni program sakuplja i prenosi informacije o sustavu natrag u poslužitelj za naredbu i kontrolu te podržava nekoliko naredbi uključujući jednu za preuzimanje i izvršavanje dodatne datoteke na zaraženim računalima.

Kako napreduju obrambene tehnologije, zlonamjerni softver također predstavlja e volova, rekao je Rong Hwa. U ovom slučaju zlonamjerni softver koristi brojne trikove, uključujući izbjegavanje analize pješčanika otkrivanjem ljudskog ponašanja, izbjegavajući binarnu tehnologiju ekstrakcije na razini mreže obavljanjem multibyte XOR enkripcije izvršnih datoteka, maskiranjem kao legitimnim postupkom, izbjegavajući forenzičku analizu pomoću bezreceptnog zlonamjerni kôd učitava se izravno u memoriju i sprečava crnu listu s automatiziranom domenom pomoću preusmjeravanja putem skraćivanja URL-a i dinamičkih DNS usluga.