Lekket malware skjuler seg bak musebevegelsen, sier eksperter

Forskere fra sikkerhetsleverandøren FireEye har avdekket en ny avansert vedvarende trussel (APT) som bruker flere deteksjonsteknikker, inkludert overvåking av museklikk, til fastslå aktiv menneskelig interaksjon med den infiserte datamaskinen.

Kalt Trojan.APT.BaneChant, er malware distribuert via et Word-dokument som er rigget med en utnyttelse sendt under målrettede e-postangrep. Navnet på dokumentet oversetter til "Islamic Jihad.doc."

"Vi mistenker at dette våpenskjemaet ble brukt til å målrette regjeringer i Midtøsten og Sentral-Asia," sa FireEye-forsker Chong Rong Hwa mandag i et blogginnlegg.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Multistage angrep

Angrepet virker i flere stadier. Det ondsinnede dokumentet laster ned og utfører en komponent som forsøker å avgjøre om driftsmiljøet er en virtualisert, for eksempel en antivirus sandkasse eller et automatisert malwareanalysesystem, ved å vente på om det er noen musaktivitet før den andre angrepstrinnet startes.

Museklikkovervåking er ikke en ny deteksjonssviktsteknikk, men malware som bruker det tidligere, kontrolleres vanligvis for et enkelt museklikk, sa Rong Hwa. BaneChant venter på minst tre museklikk før du fortsetter å dekryptere en URL og laste ned et bakdørprogram som masquerades som en.jpg-bildefil, sa han.

Malware-systemet benytter også andre deteksjonsmetoder. For eksempel, i den første fasen av angrepet, laster det skadelige dokumentet ned droppkomponenten fra en ow.ly URL. Det er ikke et skadelig domene, men det er en URL-kortingstjeneste.

Begrunnelsen bak bruk av denne tjenesten er å omgå URL-svarteytingstjenester som er aktive på den målrettede datamaskinen eller nettverket, sa Rong Hwa. (Se også "Spammere misbruker.gov URL-korttjenesten i hjemmebane svindel."

På samme måte, i den andre fasen av angrepet, lastes den ondsinnede.jpg-filen ned fra en URL generert med No-IP dynamikken Domain Name System (DNS) -tjenesten.

Etter at den lastes av den første komponenten, slipper.jpg-filen en kopi av seg selv kalt GoogleUpdate.exe i mappen "C: ProgramData Google2 \". Den oppretter også en lenke til filen i brukerens oppstartsmappe for å sikre at den kjøres ut etter hver omstart av datamaskinen.

Dette er et forsøk på å lure brukere til å tro at filen er en del av Google Update-tjenesten, et legitimt program som vanligvis er installert Under "C: Program Files Google Update \", sa Rong Hwa.

Bakdørprogrammet samler og laster opp systeminformasjon tilbake til en kommando- og kontrollserver. Den støtter også flere kommandoer, inkludert en for å laste ned og kjøre ytterligere filer på de infiserte datamaskinene.

Som forsvarsteknologi går det videre, også skadelig programvare volves, sa Rong Hwa. I dette tilfellet har malware brukt en rekke triks, blant annet å unnslippe sandkasseanalyse ved å oppdage menneskelig atferd, unngår binær utvinningsteknologi på nettverksnivå ved å utføre multibyte XOR-kryptering av kjørbare filer, masquerading som en legitim prosess, unngår rettsmedisinsk analyse ved hjelp av fileless ondsinnet kode lastet direkte inn i minnet og forhindrer automatisert domene svarteliste ved å bruke omdirigering via URL-forkortelse og dynamiske DNS-tjenester, sa han.