Sneaky вредоносная программа скрывается за движением мыши, говорят эксперты

Исследователи из поставщика безопасности FireEye обнаружили новую расширенную постоянную угрозу (APT), которая использует несколько методов уклонения от обнаружения, включая мониторинг щелчков мыши, определить активное взаимодействие человека с зараженным компьютером.

Вызванный Trojan.APT.BaneChant, вредоносное ПО распространяется через документ Word, оснащенный эксплойтом, отправленным во время целенаправленных атак электронной почты. Название документа переводится как «Исламский джихад.doc».

«Мы подозреваем, что этот вооруженный документ использовался для того, чтобы ориентироваться на правительства стран Ближнего Востока и Центральной Азии», - сказал в понедельник в блоге один из исследователей FireEye Чонг Ронг Хва.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Многоступенчатая атака

Атака работает в несколько этапов. Вредоносный документ загружает и выполняет компонент, который пытается определить, является ли операционная среда виртуализированной, например, антивирусной изолированной программой или автоматизированной системой анализа вредоносных программ, ожидая, есть ли какая-либо активность мыши перед началом второго этапа атаки.

Мониторинг кликов мыши не является новой техникой обнаружения уклонения, но вредоносное ПО, использующее его в прошлом, обычно проверялось на один щелчок мышью, сказал Ронг Хва. По его словам, BaneChant ждет по крайней мере трех щелчков мыши, прежде чем приступать к расшифровке URL-адреса и загружать бэкдор-программу, которая маскируется как файл изображения.jpg.

В вредоносной программе также используются другие методы уклонения от обнаружения. Например, во время первого этапа атаки вредоносный документ загружает компонент капельницы из URL-адреса ow.ly. Ow.ly не является вредоносным доменом, но является услугой сокращения URL-адресов.

Обоснование использования этой службы заключается в том, чтобы обходить службы черного списка URL-адресов, активные на целевом компьютере или в сети, сказал Ронг Хва. (См. Также «Спаммеры злоупотребляют сервисом сокращения URL-адресов.gov в мошенничестве на работе».

Аналогичным образом, во время второго этапа атаки вредоносный файл.jpg загружается с URL-адреса, сгенерированного с помощью динамика без IP-адреса Служба доменных имен (DNS).

После загрузки первым компонентом файл.jpg выдает копию самого себя, называемую GoogleUpdate.exe, в папку «C: ProgramData Google2 », а также создает ссылку в файл в папке запуска пользователя, чтобы обеспечить его выполнение после каждой перезагрузки компьютера.

Это попытка обмануть пользователей, считая, что файл является частью службы обновлений Google, законной программы, которая обычно устанавливается в разделе «C: Program Files Google Update », сказал Ронг Хва.

Бэкдор-программа собирает и загружает системную информацию обратно на сервер управления и управления. Он также поддерживает несколько команд, включая один для загрузки и выполнения дополнительные файлы на зараженных компьютерах.

По мере продвижения технологий защиты, вредоносные программы также вольв, сказал Ронг Хва. В этом случае вредоносное ПО использовало ряд трюков, в том числе избегая анализа песочницы, обнаруживая поведение человека, избегая технологии бинарного извлечения на уровне сети, выполняя многобайтовое шифрование XOR исполняемых файлов, маскируясь как законный процесс, уклоняясь от криминалистического анализа с использованием файлового файла вредоносный код, загружаемый непосредственно в память и предотвращающий автоматическое внесение изменений в черный список путем использования перенаправления посредством сокращения URL-адресов и динамических DNS-сервисов, сказал он.