Phần mềm độc hại lén lút ẩn sau sự di chuyển của chuột, các chuyên gia nói rằng

Các nhà nghiên cứu từ nhà cung cấp bảo mật FireEye đã phát hiện ra một mối đe dọa liên tục mới (APT) sử dụng nhiều kỹ thuật né tránh phát hiện, bao gồm cả việc theo dõi các cú click chuột, Được gọi là Trojan.APT.BaneChant, phần mềm độc hại được phân phối thông qua một tài liệu Word được giả mạo với một khai thác được gửi trong các cuộc tấn công email được nhắm mục tiêu. Tên của tài liệu dịch là "Hồi giáo Jihad.doc."

"Chúng tôi nghi ngờ rằng tài liệu vũ khí này được sử dụng để nhắm vào các chính phủ Trung Đông và Trung Á", nhà nghiên cứu Chong Rong Hwa của FireEye cho biết.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]

Tấn công đa cấp

Cuộc tấn công hoạt động trong nhiều giai đoạn. Tài liệu độc hại tải xuống và thực hiện một thành phần cố gắng xác định xem môi trường hoạt động có phải là môi trường ảo hóa, như hộp cát chống vi-rút hoặc hệ thống phân tích phần mềm độc hại tự động hay không. > Theo dõi chuột không phải là kỹ thuật né tránh phát hiện mới, nhưng phần mềm độc hại sử dụng nó trong quá khứ thường được kiểm tra chỉ với một cú click chuột, Rong Hwa nói. BaneChant chờ ít nhất ba lần nhấp chuột trước khi tiếp tục giải mã một URL và tải xuống một chương trình backdoor giả mạo dưới dạng tệp hình ảnh.jpg, ông nói.

Phần mềm độc hại cũng sử dụng các phương pháp trốn tìm khác. Ví dụ, trong giai đoạn đầu tiên của cuộc tấn công, tài liệu độc hại tải xuống thành phần dropper từ một URL ow.ly. Ow.ly không phải là một miền độc hại, nhưng là một dịch vụ rút ngắn URL.

Lý do đằng sau việc sử dụng dịch vụ này là bỏ qua các dịch vụ danh sách đen URL hoạt động trên máy tính được nhắm mục tiêu hoặc mạng của nó. Ngoài ra, trong giai đoạn thứ hai của cuộc tấn công, tệp.jpg độc hại được tải xuống từ một URL được tạo bằng động từ Không có IP Dịch vụ Hệ thống Tên Miền (DNS).

Sau khi được nạp bởi thành phần đầu tiên, tệp.jpg sẽ thả một bản sao của chính nó được gọi là GoogleUpdate.exe trong thư mục "C: ProgramData Google2 \". vào tập tin trong thư mục khởi động của người dùng để đảm bảo thực thi sau mỗi lần khởi động lại máy tính.

Đây là một nỗ lực để lừa người dùng tin rằng tệp đó là một phần của dịch vụ cập nhật của Google, một chương trình hợp pháp thường được cài đặt trong "C: Program Files Google Update \", Rong Hwa nói.

Chương trình backdoor tập hợp và tải lên thông tin hệ thống trở lại máy chủ điều khiển và lệnh. Nó cũng hỗ trợ một số lệnh bao gồm một lệnh để tải xuống và thực thi các tập tin bổ sung trên các máy tính bị nhiễm.

Khi công nghệ phòng thủ tiến triển, phần mềm độc hại cũng e volves, Rong Hwa nói. Trong trường hợp này, phần mềm độc hại đã sử dụng một số thủ thuật, bao gồm việc phân tích hộp cát bằng cách phát hiện hành vi của con người, trốn tránh công nghệ trích xuất nhị phân cấp mạng bằng cách thực hiện mã hóa XOR nhiều byte của các tệp thực thi, giả mạo như một quy trình hợp pháp, tránh phân tích pháp y bằng cách sử dụng fileless mã độc được nạp trực tiếp vào bộ nhớ và ngăn chặn danh sách đen tên miền tự động bằng cách sử dụng chuyển hướng thông qua rút ngắn URL và dịch vụ DNS động, ông nói.