By | December 11, 2017

מומחי אבטחה Fortinet מצאו כי יוצרי גישה מרחוק יש טרויאני למטרה משקיעים ביטקוין מנסה להפיק תועלת הזינוק האחרון בהערך שלו.

ההאקרים לשלוח המשקיעים הודעות דיוג פרסום ביטקוין חדש של מסחר היישום בוט “אקדח הזעם”, שנוצר על ידי GuntherLab או Gunthy. עם זאת, מה הדוא ל מספק במקום, למשקיעים הוא זדוני Orcus RAT.

להכיל הודעות דיוג. המצורף מיקוד שמציעות VB script פשוט פותח כדי להוריד בינארי המתחפש קובץ תמונת JPEG. החוקרים Fortinet טוענים כי ההאקרים לא אפילו ניסו להסתיר את כוונותיהם, או כי הם לא רוצים, או כי יש להם שום ידע טכני כדי לעשות זאת.

ההפעלה שהורדת היא גירסה Trojanized של כלי מערכת המלאי קוד פתוח בשם TTJ-מלאי מערכת. מפתח בקידוד קשיח משמש לפענוח הקוד מקודד לתוך הפעלה .NET PE אחר אשר נטען, להורג לזיכרון.

על-ידי בדיקת לקיומו של mutex שנקרא “dgonfUsV”, איום זדוני מבטיחה כי זה המופע היחיד אשר פועל על המחשב הנגוע.

על-פי Fortinet, מודול RunPE תוכל לבצע מודולים מבלי לכתוב אותם למערכת. גם, זה מסוגלת לבצע את המודולים תחת קבצי הפעלה לגיטימית על-ידי הפעלת יישומים במצב מושעה והחלפה זיכרון התהליך עם קוד זדוני אחר כך. על ידי שוב ושוב הפעלת התוכנה הזדונית, התמדה כלב השמירה משאיר האיום פועל.

פרט את כל התכונות שיישום כזה צריך לכלול, Orcus RAT ניתן להוריד תוספים ובצע C# וקוד VB.net במחשב המרוחק בזמן אמת.

“בעיקרון, אם רכיב השרת מקבל ‘מותקן’ במערכת שלך, האדם בצד השני נמצא ממש מול המחשב תוך כדי לראות ולשמוע אותך באותו הזמן-. כן, זה יכול להפעיל את המיקרופון ואת מצלמת אפילו ללא ידיעתך,” המומחים Fortinet אומרים…

בנוסף, אורקוס הוא מסוגל השבתת את נורית חיווי על מצלמות מרגל על המשתמשים ויישום כלב שמירה אשר מפעיל מחדש את רכיב שרת. חוץ מזה, אם המשתמש מנסה להרוג את התהליך, העכברוש יכולים להפעיל כחול מסך של מוות (BSOD).

כמו כן, בדומה רבים חולדות אחרות, אורקוס איום לצורך אחזור סיסמה תכונות ופונקציונליות מפתח רישום. בנוסף, התוכנה הזדונית מציע תוסף אשר יכול לשמש כדי לבצע תקיפות מופץ מסוג מניעת שירות (DDoS).

מומחי אבטחה הבחין כי ההאקרים עשו כמה שינויים בתוכן של האתר להפיץ את Orcus RAT (bltcointalk.com, אשר מנסה לחקות ביטקוין בפורום bitcointalk.org). חוץ מזה, הם הורידו את קובץ התמונה הנ ל מהאתר רישום קובץ ZIP במקום.

הקבוצה Fortinet מצא גם אתרים נוספים בניסיון לחקות תחומים לגיטימי על-ידי שינוי אות יחידה בכתובת ה-URL. מסיבה זו, ממליצים המומחים ההאקרים מחזור בין האתרים כאשר מחליפים קמפיין חדש.

Leave a Reply

Your email address will not be published. Required fields are marked *