Sneaky Malware versteckt sich hinter der Mausbewegung, Experten sagen,

Forscher des Sicherheitsanbieters FireEye haben eine neue Advanced Persistent Threat (APT) entdeckt, die mehrere Erkennungsmethoden, einschließlich der Überwachung von Mausklicks, verwendet Ermitteln Sie die aktive menschliche Interaktion mit dem infizierten Computer.

Die Malware Trojan.APT.BaneChant wird über ein Word-Dokument verbreitet, das mit einem Exploit versehen ist, der bei gezielten E-Mail-Angriffen gesendet wird. Der Name des Dokuments bedeutet übersetzt "Islamischer Dschihad.doc".

"Wir vermuten, dass dieses waffenfähige Dokument für die Regierungen im Nahen Osten und Zentralasien verwendet wurde", sagte der FireEye-Forscher Chong Rong Hwa am Montag in einem Blogbeitrag.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Mehrstufiger Angriff

Der Angriff funktioniert in mehreren Stufen. Das bösartige Dokument lädt eine Komponente herunter und führt sie aus, um festzustellen, ob es sich bei der Betriebsumgebung um eine virtualisierte Umgebung handelt, z. B. eine Antiviren-Sandbox oder ein automatisiertes Malware-Analysesystem, bevor die zweite Angriffsphase eingeleitet wird > Die Mausklick-Überwachung ist keine neue Methode zur Erkennung von Ausbrüchen, aber Malware, die sie in der Vergangenheit benutzt, wird im Allgemeinen auf einen einzigen Mausklick überprüft, sagte Rong Hwa. BaneChant wartet mindestens drei Mausklicks, bevor er mit der Entschlüsselung einer URL beginnt und ein Backdoor-Programm herunterlädt, das sich als.jpg-Image-Datei tarnt, sagte er.

Die Malware verwendet auch andere Erkennungsmethoden. Zum Beispiel lädt das bösartige Dokument während der ersten Stufe des Angriffs die Dropper-Komponente von einer ow.ly-URL herunter. Ow.ly ist keine bösartige Domain, sondern ein URL-Kürzungsdienst.

Der Grund für die Nutzung dieses Dienstes ist die Umgehung von URL-Blacklisting-Diensten, die auf dem Zielcomputer oder seinem Netzwerk aktiv sind, sagte Rong Hwa. (Siehe auch "Spammer missbrauchen URL-Shortener-Dienst in Work-at-Home-Betrügereien."

Ähnlich wird während der zweiten Phase des Angriffs die bösartige.jpg-Datei von einer URL heruntergeladen, die mit dem No-IP-Dynamic generiert wurde DNS-Dienst (Domain Name System)

Nachdem die.jpg-Datei von der ersten Komponente geladen wurde, löscht sie eine Kopie von sich selbst namens GoogleUpdate.exe im Ordner "C: ProgramData Google2 \" und erstellt eine Verknüpfung zu der Datei im Startordner des Benutzers, um sicherzustellen, dass sie nach jedem Neustart des Computers ausgeführt wird.

Dies ist ein Versuch, Benutzer glauben zu machen, dass die Datei Teil des Google-Updatediensts ist, eines legitimen Programms, das normalerweise installiert wird unter "C: Programme Google Update \", sagte Rong Hwa.

Das Backdoor-Programm sammelt und lädt Systeminformationen zurück zu einem Command-and-Control-Server. Es unterstützt auch mehrere Befehle einschließlich eines zum Herunterladen und Ausführen zusätzliche Dateien auf den infizierten Computern.

Mit fortschreitender Verteidigungstechnologie Malware, z Volves, sagte Rong Hwa. In diesem Fall hat die Malware eine Reihe von Tricks angewendet, einschließlich der Vermeidung von Sandbox-Analysen durch Erkennung von menschlichem Verhalten, der Vermeidung der binären Extraktionstechnologie auf Netzwerkebene durch Multi-Byte-XOR-Verschlüsselung von ausführbaren Dateien, Maskierung als legitimer Prozess und Vermeidung forensischer Analyse durch Dateilos bösartiger Code, der direkt in den Speicher geladen wird und eine automatische Domänen-Blacklisting verhindert, indem er die Umleitung über URL-Kürzungen und dynamische DNS-Dienste verwendet, sagte er.