Hackers lança malware FlawedAmmyy RAT por meio de macros do MS Excel não detectadas e possuíam um poderoso backdoor - Anonymous Hacker

[Latest News][6]

Adobe
Análise de Vulnerabilidade
ANDROID
ANONYMOUS
Anti Vírus
ANTI-DDOS
ANTI-SPYWARES E ADWARES
Antivírus
APK PRO
APOSTILAS
apps
Ativador
CIÊNCIA
Compartilhadores
Computador pc
CURSO PHP
CURSO TCP / IP
CURSOS
Cursos Diversos
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
Desenvolvimento Web
DICAS
Diversos
DOCUMENTARIO
DoS
Editor de Áudio
Editor de Imagem
Editor de Texto
Editor de Vídeo
Engenharia
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
Fundamentos financeiros
Gravadores
Internet
INVASÕES
IPHONE
JOGOS
KALI LINUX
Limpeza e Utilitários
Lixão
MAC OS
macOS
Malware
Manutenção de Pcs
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Produtividade
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
Seo
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
tools
Utilitários
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Hackers lança malware FlawedAmmyy RAT por meio de macros do MS Excel não detectadas e possuíam um poderoso backdoor

anonymoushacker.com.br

A amostra Observada do FlawedAmmyy RAT é altamente sofisticada e pode controlar as vítimas infectadas remotamente e escapar do software de segurança.
Atores ameaça TA505 são um grupo cibercrime bem conhecido que já foi infectado milhões de vítimas usando várias operações maliciosas, incluindo grande escala Dridex , Locky e campanhas GlobeImposter, entre outros.
Com base nos recursos de malware, ele será detectado somente quando passar do primeiro nível de execução pelo arquivo MSI (instalador do Windows).
Pesquisador era aprofundar a análise fonte vazou que os relatórios, FlawedAmmyy RAT pode realizar várias operações, incluindo o controle remoto desktop, gerente de sistema de arquivos, suporte a proxy e bate-papo de áudio.
Além dessas infecções, também pode fornecer acesso completo das máquinas vítimas aos invasores e roubar arquivos, credenciais, coletar capturas de tela e acessar a câmera e o microfone. 
Segundo o pesquisador, Pedro Tavares deseguranca-informáticadisse ao “ GBHackers On Security” via E-mail “Durante minha pesquisa, eu detectei uma onda recente distribuindo o RAT FlawedAmmyy via macros XLM que complicam sua detecção através de endpoints de segurança como AVs. Eu enviei a amostra para o VirusTotal e nenhuma atividade suspeita foi detectada. O Thread Actor 505 (TA505) está agora espalhando essa ameaça para infectar os dispositivos do usuário. ”



Processo de Infecção FlawedAmmyy

TA505 Agentes de ameaças que inicialmente alavancam malspam E-mail campanha para espalhar o FlawedAmmyy RAT para as vítimas-alvo usando táticas antigas desde que o malware não é um novo.
O e-mail contém documentos Excel anexados e o conteúdo do corpo do e-mail engana os usuários para abrir o arquivo que carregava e executava o código de macro malicioso do Excel 4.0.
“O código de macro mal-intencionado da XLM está localizado em um formato oculto para evitar a atenção das vítimas. O nome da forma oculta é escrito em russo: Макрос1  -  Macro 1, em inglês. ”


Após a execução bem-sucedida da Macro, o dropper MSI estará pronto para o primeiro estágio do processo msiexec.exe de malware , que é outro downloader do RAT FlawedAmmyy original ( wsus.exe ).
Mais tarde, estabelece a comunicação do servidor C2, onde receberO comando do atacante, mas o servidor C2 usado pelo invasor agora está offline com base na instrução do pesquisador. Você também pode ler os detalhes completos da análise técnica aqui .
“Os usuários que recebem e-mails com arquivos xls anexados devem estar cientes, pois os arquivos podem ser um veículo não detectado espalhando qualquer tipo de malware e a Infecção depende da vítima, permitindo que a macro seja executada. Os usuários devem garantir que as macros estejam desabilitadas em seus aplicativos do Microsoft Office. Pesquisador disse.

Indicadores de Compromisso

Hashd490573977cc6b42ba0b4325df953a7f (Xls) 
4cc5de3d2bddd7c89311fccf3d1b51d9 (doc) 
c4463d6ae741d4fb789bd0895fafebee (instalador msi / conta-gotas) 
2944eca03bc13b0edf064a619ec41459 (primeira fase malwares) 
4C4F2BBE3F49B17B04440C60F31293CB1431A867 (wsus.exe) 
9B54BBB0730FD50789E13F1968043074EF30836C (wsus.exe)

Sobre Luiz Paulo

quando uma impressora desconhecida pegou uma galera do tipo e a mexeu para fazer um livro de espécimes do tipo. Ele sobreviveu não apenas cinco séculos.

Nenhum comentário:

Postar um comentário

Últimas

Start typing and press Enter to search