Jump to content

Welcome to Newsat Forum

Welcome to Newsat Forum, like most online communities you must register to view or post in our community, but don't worry this is a simple free process that requires minimal information for you to signup. Be apart of Newsat Forum by signing in or creating an account.

  • Start new topics and reply to others
  • Subscribe to topics and forums to get email updates
  • Get your own profile page and make new friends

Send personal messages to other members.


  • Recently Browsing   0 members
     
     

    No registered users viewing this page.

     
Sign in to follow this  
Satblok

Νέος KBOT ιός εισάγει κακόβουλο κώδικα σε Windows αρχεία και κλέβει data!

Recommended Posts

Ακούτε τον όρο “Ιός” (virus) αντί για malware μετά από πολύ καιρό !! Ναι, ακούτε σωστά. Οι ερευνητές ανακάλυψαν ένα νέο κύμα κακόβουλης καμπάνιας που ονομάζεται “KBOT” που εισάγει κακόβουλο κώδικα στα εκτελέσιμα αρχεία των Windows.

Τον περιγράφουν ως ένα ζωντανό ιό που τα τελευταία χρόνια εξαπλώνεται σε ευρεία κλίμακα μέσω μολυσμένου εξωτερικού drive, του τοπικού network και του Internet για να αναπαράγει τον εαυτό του τροποποιώντας άλλα προγράμματα ηλεκτρονικών υπολογιστών χρησιμοποιώντας τον δικό του κώδικα.

Η επιτυχής “μόλυνση” θα επιβραδύνει το σύστημα μέσω της έγχυσης της διαδικασίας του συστήματος και θα πάρει τον πλήρη έλεγχο του συστήματος απομακρυσμένα, θα κλέψει προσωπικά δεδομένα τα οποία θα χρησιμοποιήσει για να κλέψει τα τραπεζικά δεδομένα των χρηστών.

Το KBOT επίσης μεταφορτώνει πρόσθετα modules με ικανότητες κλοπής για τη συλλογή κωδικών πρόσβασης / logins, δεδομένων cryptowallet, λιστών αρχείων και εγκατεστημένων εφαρμογών και την αποστολή σε servers C2.

KBOT

Πώς μολύνει ο KBOT ιός

Η διαδικασία του infection από τον ιό KBOT αρχίζει επιθετικά με αναπαραγωγές σε ένα τοπικό δίκτυο και εξαπλώνεται γρήγορα σε άλλον υπολογιστή, μολύνοντας τα εκτελέσιμα αρχεία χωρίς καμία πιθανότητα ανάκτησης.

Το KBOT μολύνει άμεσα όλα τα αρχεία EXE, συμπεριλαμβανομένων των κατατμήσεων HDD, των εξωτερικών μέσων, των network drives και των network φακέλων, χρησιμοποιώντας τον κακόβουλο κώδικα.

Το KBOT προσθέτει τα κρυπτογραφημένα δεδομένα (χρησιμοποιώντας τη μέθοδο XOR) στο τέλος των παρακάτω αρχείων .rsrc, .data, .rdata και τα κρυπτογραφημένα δεδομένα περιέχουν το “σώμα” της κύριας μονάδας malware (βιβλιοθήκη δυναμικής σύνδεσης (DLL)), καθώς και κώδικα για την αποκρυπτογράφηση.

Επίσης, μπορεί να λειτουργήσει στο πλαίσιο των εφαρμογών του συστήματος και να προσπαθήσει να μολύνει τον κώδικα στην τρέχουσα διαδικασία.

Προσπάθεια hijacking DLL

Το KBOT malware κάνει μια προσπάθεια hijacking DLL, μολύνοντας τα δυαδικά αρχεία συστήματος όταν κάνει εκκίνηση το σύστημα.

Ο ιός αναζητά ειδικά εκτελέσιμα αρχεία EXE κατάλληλα για την επίθεση στον φάκελο του συστήματος C: \ Windows \\ System32. Στην συνέχεια κάνει αλλαγές στα δικαιώματα των αρχείων, στα ονόματα και στο είδος τους.

Για να αποκτήσουν απομακρυσμένη πρόσβαση στο σύστημα, οι hackers που βρίσκονται πίσω από το KBOT δημιουργούν αντίστροφες συνδέσεις με τους servers που βρίσκονται στην λίστα του αρχείου BC.ini.

Ο ιός έλαβε επίσης αρκετές εντολές από τον server C2 που διαχειρίζεται ο εισβολέας.

  • DeleteFile – διέγραψε το συγκεκριμένο αρχείο.
  • UpdateFile – update στο συγκεκριμένο αρχείο.
  • UpdateInjects — update στο ini.
  • UpdateHosts — update στοini.
  • UpdateCore — update στην κύρια λειτουργική μονάδα bot και το αρχείο διαμόρφωσης kbot.ini.
  • Uninstall — απεγκατάσταση του malware.
  • UpdateWormConfig — update στο worm.ini που περιέχει πληροφορίες σχετικά με τη θέση των αρχείων EXE που πρόκειται να μολυνθούν.

Επίσης, ο ιός διαμορφώνει τις ρυθμίσεις του Remote Desktop Server για να δημιουργήσει πολλές ταυτόχρονες περιόδους σύνδεσης χρησιμοποιώντας το πρωτόκολλο RDP.

“Επιτρέπει στους χειριστές του να ελέγχουν το compromised σύστημα απομακρυσμένα, να κλέβουν προσωπικά δεδομένα και να κλέβουν τα τραπεζικά δεδομένα των χρηστών”, δήλωσε ο ερευνητής της Kaspersky.

Let's block ads! (Why?)

Πηγή Είδησης

Share this post


Link to post
Share on other sites
 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
  • Create New...