Orcus RAT кампанії під загрозою Bitcoin інвесторів

Computer Security News

Експерти Fortinet безпеки показали, що творці віддаленого доступу Троян орієнтації Bitcoin інвестори намагаються скористатися недавній сплеск в свою цінність.

Хакери відправити інвестори фішинг-листи, рекламні новий Bitcoin trading бот застосунку “Gunbot”, створено GuntherLab або Gunthy. Тим не менш, що email поставляє інвесторам замість цього, є зловмисними Orcus RAT.

Фішинг-листи містять це. ZIP вкладення featuring простий VB script розроблена, щоб завантажити бінарні Маськарадінг як зображення JPEG-файл. Fortinet дослідники стверджують, що хакери не навіть намагався приховати свої наміри, оскільки вони не хочуть або вони не мають технічних знань для цього.

Завантажити виконуваний файл є версією Trojanized інструмент з відкритим кодом інвентаризації система називається TTJ інвентаризації. Жорстко ключ використовується для розшифрування кодований код в інший .NET PE виконуваний файл завантажений і страчений в пам ‘ яті.

Перевіряючи наявність м’ютекс, під назвою “dgonfUsV”, шкідливих загроз гарантує, що він єдиний приклад, який працює на комп’ютері.

За словами Fortinet RunPE модуль має право здійснювати модулів без писати їх до системи. Крім того, вона здатна виконавчого модулів під законним виконуваних файлів, запущених додатків в зараз до режиму і замінити цей процес пам’яті з шкідливого коду після цього. Шляхом неодноразово виконання шкідливі програми, наполегливість watchdog тримає загроза під керуванням.

Крім мають всі функції таких програм має включати, Orcus RAT можна завантажити плагінів і виконати C# і VB.net код на віддаленому комп’ютері в реальному часі.

“В основному, якщо компонент сервера отримує ‘установки’ для вашої системи, людина, з іншого боку є практично перед вашої машини під час бачити і чути вас в той же час-так, його можна активувати мікрофон і веб-камера навіть без вашого відома,” на думку експертів Fortinet.

Крім того, Orcus здатна вимкнення світла індикатор на веб-камери, щоб шпигувати за користувачів та реалізації watchdog, яка буде перезавантажений компонент сервера. Крім того, якщо користувач намагається вбити процес, ЩУРИ може викликати синій екран з смерті (BSOD).

Також, аналогічно до багатьох інших щурів, до Orcus загрози функції пароля і функціональність ключових журналювання. Крім того, шкідливі програми пропонує плагін, який може бути використаний для виконання розподілені відмова в обслуговуванні (DDoS) атак.

Експерти безпеки помітив, що хакери внесли деякі зміни до вмісту веб-сайту розповсюдження Orcus RAT (bltcointalk.com, який намагається наслідувати Bitcoin форум bitcointalk.org). Крім того, вони вилучені файлу вищезазначених зображення з веб-сайту замість розміщення ZIP-файл.

Команда Fortinet також знайти додаткові веб-сайти намагаються наслідувати законних домени, змінивши одну букву в URL. З цієї причини експерти припускають, що хакери переключатися між веб-сайти, під час переходу в нову кампанію.


Leave a Reply

Your email address will not be published. Required fields are marked *