Perisian malware yang menyembunyikan di belakang pergerakan tetikus, pakar mengatakan

Penyelidik dari penjual keselamatan FireEye telah menemui ancaman berterusan yang maju (APT) baru yang menggunakan pelbagai teknik pengungsian pengesanan, termasuk pemantauan klik tetikus, tentukan interaksi manusia yang aktif dengan komputer yang dijangkiti.

Dipanggil Trojan.APT.BaneChant, malware diedarkan melalui dokumen Word yang disusun dengan eksploit yang dihantar semasa serangan email yang disasarkan. Nama dokumen itu diterjemahkan kepada "Islamic Jihad.doc."

"Kami mengesyaki bahawa dokumen senaman ini digunakan untuk menyasarkan kerajaan Timur Tengah dan Asia Tengah," kata penyelidik FireEye, Chong Rong Hwa, Isnin.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]

Serangan multistage

Serangan berfungsi dalam pelbagai peringkat. Unduhan dokumen jahat dan melaksanakan komponen yang cuba menentukan apakah persekitaran operasi adalah salah satu virtualized, seperti kotak pasir antivirus atau sistem analisis malware otomatis, dengan menunggu untuk melihat apakah ada aktivitas mouse sebelum memulai tahap serangan kedua.

Pemantauan klik tetikus bukan teknik pengungsian pengesanan yang baru, tetapi perisian hasad yang menggunakannya pada masa lalu biasanya diperiksa untuk klik tetikus tunggal, kata Rong Hwa. BaneChant menunggu sekurang-kurangnya tiga klik tetikus sebelum meneruskan untuk menyahsulit URL dan memuat turun program backdoor yang menyamar sebagai file gambar.jpg, kata dia.

Malware juga menggunakan kaedah pengungsian pengesanan yang lain. Sebagai contoh, semasa peringkat pertama serangan itu, dokumen jahat itu memuat turun komponen penipuan dari URL yang ada. Ow.ly bukan domain yang berniat jahat, tetapi merupakan perkhidmatan memendekkan URL.

Rasional di belakang menggunakan perkhidmatan ini adalah untuk memintas perkhidmatan senarai hitam URL yang aktif pada komputer yang disasarkan atau rangkaiannya, kata Rong Hwa. (Lihat juga "Perkhidmatan penyingkat URL spam penyalahgunaan spam di penipuan bekerja di rumah."

Begitu juga, semasa serangan kedua, fail.jpg yang berniat dimuat turun daripada URL yang dihasilkan dengan dinamik No-IP Perkhidmatan Nama Domain (DNS).

Selepas dimuatkan oleh komponen pertama, fail.jpg akan menjatuhkan salinan sendiri bernama GoogleUpdate.exe dalam folder "C: ProgramData Google2 \". ke fail dalam folder permulaan pengguna untuk memastikan pelaksanaannya selepas setiap reboot komputer.

Ini adalah percubaan untuk menipu pengguna untuk mempercayai bahawa fail itu adalah sebahagian daripada perkhidmatan pembaruan Google, program sah yang biasanya dipasang di bawah "C: Program Files Google Update \", Rong Hwa berkata.

Program backdoor mengumpulkan dan meng-upload maklumat sistem kembali ke pelayan arahan dan kawalan.Ia juga menyokong beberapa perintah termasuk satu untuk memuat turun dan melaksanakan fail tambahan pada komputer yang dijangkiti.

Seperti teknologi pertahanan yang maju, malware juga e tuduhan, kata Rong Hwa. Dalam hal ini, malware telah menggunakan beberapa helah, termasuk mengelakkan analisis kotak pasir dengan mengesan tingkah laku manusia, mengelakkan teknologi pengekstrakan binari peringkat dengan melakukan multibyte XOR enkripsi fail boleh laku, menyamar sebagai proses yang sah, menghindari analisis forensik dengan menggunakan fileless kod jahat yang dimuatkan secara langsung ke dalam memori dan menghalang penyenaraian semula domain automatik dengan menggunakan pengalihan melalui URL memendekkan dan dinamik perkhidmatan DNS, katanya