Även om bedrägerier med social ingenjörskonst är vanligare och inte kräver mycket sofistikering, finns det fortfarande stora grupper av hackare som använder avancerad programmering för att infektera sina offer och extrahera så mycket information som möjligt.
RedEyes, en av dessa mest kända hackergrupper i världen, har nyligen återvänt till striden och släppt en ny skadlig kod som kommer kamouflerat i till synes ofarliga bildfiler och ganska omöjliga att upptäcka, eftersom det lämnar väldigt få spår.
Så här infekterar M2RAT-skadlig programvara dig
Smakämnen APT37 hackergrupp, även känd som RedEyes eller ScarCruft , är en nordkoreansk cyberspionagegrupp som tros vara statsstödd. Nu har det upptäckts att de använder en ny undvikande skadlig kod som heter M2RAT för datastöld och underrättelseinsamling.
As rapporterat av AhnLab Security Detta ny skadlig stam som heter M2RAT använder en delad minnessektion för kommandon och dataextrahering och lämnar mycket få funktionsspår på den infekterade maskinen.
Gruppen hackare skickade nätfiske-e-postmeddelanden som innehöll en skadlig bilaga till sina mål. Att öppna bilagan utlöser utnyttjandet av en gammal sårbarhet i EPS ( CVE-2017-8291 ) i Hangul-ordbehandlaren som vanligtvis används i Sydkorea. Exploateringen orsakar skalkod ska köras på offrets dator som laddas ner och körs en skadlig körbar fil som lagras i en JPEG-bild .
Denna bildfil använder steganografi , en teknik som gör att kod kan döljas i filer, för att smyg införa M2RAT-körbara filen ("lskdjfei.exe") i systemet och injicera den i "explorer.exe".
Hackare infekterar Windows och telefoner
M2RAT-bakdörren fungerar som en grundläggande fjärråtkomsttrojan som utför tangentloggning, datastöld, kommandoexekvering och skärmdump tar, som aktiveras med jämna mellanrum och arbetar självständigt utan behov av ett kommando. operatörsspecifik. Skadlig programvara stöder kommandon som samlar in information från den infekterade enheten och sedan skickar den till C2-servern för granskning av angripare.
Särskilt intressant är förmågan som denna skadliga programvara har att söka efter bärbara enheter kopplade till Windows dator, som smartphones eller surfplattor. Om en bärbar enhet upptäcks kommer den att skanna innehållet på enheten för dokument och röstinspelningsfiler , och om de hittas, kopiera dem till datorn för att läcka till angriparens server.
Före extraktion, den stulna datan komprimeras till en lösenordsskyddad RAR-fil och den lokala kopian raderas från minnet för att ta bort eventuella spår.
