Malihim na malware na nagtatago sa likod ng kilusan ng mouse, sinasabi ng mga eksperto

Ang mga mananaliksik mula sa security vendor na FireEye ay nagbukas ng isang bagong advanced na persistent threat (APT) na gumagamit ng maraming diskarte sa pag-iwas sa detection tukuyin ang aktibong pakikisalamuha ng tao sa mga nahawaang computer.

Tinatawag na Trojan.APT.BaneChant, ang malware ay ipinamamahagi sa pamamagitan ng isang dokumento ng Word na sinisikap ng isang pagsasamantala na ipinadala sa panahon ng naka-target na pag-atake sa email. Ang pangalan ng dokumento ay isinasalin sa "Islamic Jihad.doc."

"Pinaghihinalaan namin na ang dokumentong ito na weaponized ay ginamit upang i-target ang mga gobyerno ng Middle East at Central Asia," sinabi ng researcher ng FireEye na si Chong Rong Hwa sa isang post sa blog.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Pag-atake ng Multistage

Gumagana ang pag-atake sa maraming yugto. Ang mga nakakahamak na pag-download ng dokumento at nagpapatupad ng isang sangkap na nagtatangka upang matukoy kung ang operating environment ay isang virtualized, tulad ng isang antivirus sandbox o isang automated system ng pagtatasa ng malware, sa pamamagitan ng paghihintay upang makita kung mayroong anumang aktibidad ng mouse bago simulan ang pangalawang atake entablado. > Mouse click monitoring ay hindi isang bagong diskarte sa pag-iwas sa pagtuklas, ngunit ginagamit ng malware na ito sa nakaraang karaniwang naka-check para sa isang solong pag-click ng mouse, sinabi ni Rong Hwa. Naghihintay ang BaneChant ng hindi bababa sa tatlong pag-click ng mouse bago magpatuloy sa pag-decrypt ng isang URL at mag-download ng backdoor program na nagpuputakip bilang isang.jpg file ng imahe, sinabi niya.

Ang malware ay gumagamit din ng iba pang pamamaraan sa pag-iwas sa pagtuklas. Halimbawa, sa panahon ng unang yugto ng pag-atake, ang mga nakakahamak na dokumento ay nagda-download ng bahagi ng dropper mula sa isang URL na ow.ly.

Ang rationale sa likod ng paggamit ng serbisyong ito ay upang laktawan ang mga serbisyo ng pag-blacklist ng URL na aktibo sa naka-target na computer o network nito, sinabi ni Rong Hwa. (Tingnan din ang "Pag-abuso ng spammer na pang-aabuso ng.gov URL sa mga pandaraya sa work-at-home."

Sa katulad na paraan, sa pangalawang yugto ng pag-atake, ang nakakahawang file na.jpg ay na-download mula sa isang URL na nabuo gamit ang No-IP dynamic Serbisyong Pangalan ng Domain Name (DNS).

Pagkatapos ma-load ng unang bahagi, ang.jpg file ay bumaba ng isang kopya mismo na tinatawag na GoogleUpdate.exe sa folder ng "C: ProgramData Google2 \". Lumilikha din ito ng link sa file sa folder ng start-up ng user upang matiyak ang pagpapatupad nito pagkatapos ng reboot ng bawat computer.

Ito ay isang pagtatangka upang linlangin ang mga user sa paniniwalang ang file ay bahagi ng serbisyo sa pag-update ng Google, isang lehitimong programa na normal na naka-install Sa ilalim ng "C: Program Files Google Update \", sinabi ni Rong Hwa.

Ang programa ng backdoor ay nangangalap at nag-upload ng impormasyon ng system pabalik sa isang command-and-control server. Sinusuportahan din nito ang ilang mga utos kabilang ang isa upang i-download at execute karagdagang mga file sa mga nahawaang computer.

Habang lumalawak ang mga depensa sa teknolohiya, malware din e volves, sinabi ni Rong Hwa. Sa pagkakataong ito, ang paggamit ng malware ay gumagamit ng ilang mga trick, kabilang ang pag-iwas sa pag-aaral ng sandbox sa pamamagitan ng pag-detect ng pag-uugali ng tao, pag-iwas sa teknolohiya ng binary na binary ng network sa pamamagitan ng pagsasagawa ng multibyte XOR na pag-encrypt ng mga executable file, pagsasadya bilang isang lehitimong proseso, pag-iwas sa forensic analysis sa pamamagitan ng paggamit ng walang porma ang malisyosong code ay direkta na na-load sa memorya at pinipigilan ang pag-blacklist ng awtomatikong domain sa pamamagitan ng paggamit ng pag-redirect sa pamamagitan ng URL shortening at dynamic DNS services, sinabi niya.