Bitcoin nhà đầu tư bị đe dọa bởi Orcus RAT chiến dịch

Computer Security News

Chuyên gia bảo mật Fortinet đã tìm thấy rằng những người sáng tạo của một truy cập từ xa Trojan đã nhắm mục tiêu Bitcoin nhà đầu tư đang cố gắng để hưởng lợi từ các cành tại trong giá trị của nó.

Các hacker gửi cho các nhà đầu tư quảng cáo Bitcoin mới kinh doanh ứng dụng bot “Gunbot”, tạo ra bởi GuntherLab hoặc Gunthy email lừa đảo. Tuy nhiên, những gì email cung cấp cho các nhà đầu tư thay vào đó, là các độc hại Orcus RAT.

Lừa đảo email chứa một. Số ZIP tập tin đính kèm với một kịch bản đơn giản của VB đã phát triển để tải về giả mạo nhị phân như một tập tin hình ảnh JPEG. Các nhà nghiên cứu Fortinet tuyên bố rằng các hacker đã không thậm chí còn cố gắng giấu ý định của họ, vì họ không muốn hoặc vì họ không có kỹ thuật kiến thức để làm như vậy.

Tải về file thực thi là phiên bản Trojanized của một hàng tồn kho mã nguồn mở công cụ hệ thống gọi là hệ thống TTJ-hàng tồn kho. Một chìa khóa hardcoded được sử dụng để giải mã các mã được mã hóa vào một .NET PE tập tin thực thi được tải và xử tử vào bộ nhớ.

Bằng cách kiểm tra sự tồn tại của một mutex được gọi là “dgonfUsV”, các mối đe dọa nguy hiểm đảm bảo rằng nó là ví dụ duy nhất mà đang chạy trên máy tính bị nhiễm.

Theo Fortinet, một mô-đun RunPE có thể thực hiện các mô-đun mà không cần viết chúng vào hệ thống. Ngoài ra, nó có khả năng thực hiện các mô-đun trong thực thi hợp pháp bằng cách chạy ứng dụng trong chế độ bị đình chỉ và thay thế bộ nhớ quá trình với mã độc hại sau đó. Bằng cách liên tục thực hiện phần mềm độc hại, cơ quan giám sát kiên trì giữ các mối đe dọa chạy.

Ngoài việc có tất cả các tính năng bao gồm một ứng dụng, Orcus RAT có thể nạp bổ sung và thực hiện C# và VB.net mã trên máy tính từ xa trong thời gian thực.

“Về cơ bản, nếu một thành phần máy chủ bị ‘cài đặt’ hệ thống của bạn, người bên kia là thực tế ở phía trước của máy tính của bạn trong khi nhìn thấy và nghe bạn cùng một lúc-có, nó có thể kích hoạt microphone và webcam của bạn ngay cả khi mà bạn không biết,” chuyên gia Fortinet nói.

Ngoài ra, Orcus có khả năng vô hiệu hóa các chỉ số ánh sáng trên webcam để gián điệp trên người sử dụng và thực hiện một watchdog khởi động lại các thành phần máy chủ. Bên cạnh đó, nếu người dùng cố gắng để giết quá trình này, chuột có thể kích hoạt một Blue Screen of Death (BSOD).

Ngoài ra, tương tự như vậy với rất nhiều các con chuột khác, Orcus mối đe dọa tính năng mật khẩu retrieval và chìa khóa đăng nhập chức năng. Ngoài ra, phần mềm độc hại có một plugin có thể được sử dụng để thực hiện các cuộc tấn công phân phối từ chối dịch vụ (DDoS).

Các chuyên gia an ninh nhận thấy rằng các hacker đã thực hiện một số thay đổi để các nội dung của các trang web phân phối các Orcus RAT (bltcointalk.com, mà cố gắng để bắt chước Bitcoin diễn đàn bitcointalk.org). Bên cạnh đó, họ xóa các tập tin hình ảnh nói trên từ các trang web đăng tải một tập tin ZIP để thay thế.

Đội Fortinet cũng đã tìm thấy thêm các trang web đang cố gắng bắt chước tên miền hợp pháp bằng cách thay đổi một chữ cái trong URL. Do đó, các chuyên gia gợi ý rằng các hacker chu kỳ giữa các trang web khi chuyển đổi sang một chiến dịch mới.


Leave a Reply

Your email address will not be published. Required fields are marked *