Pesquisadores descobriram uma nova campanha com o malware Zegost info stealer, que acredita-se ser originado de agentes de ameaças baseados na China, que tem como alvo redes governamentais na China.
Zegost descoberto de volta para 2011, desde então, os invasores atualizaram com várias novas funcionalidades e adicionaram novos recursos de persistência, explorações para manter o acesso.
Os pesquisadores acreditam que o malware foca apenas na rede do governo chinês, mas não ficou claro por que os agentes de ameaça visam apenas as agências do governo.
Por natureza, o malware desenvolvido para roubar as informações da vítima visada que reside na rede comprometida, com a capacidade de aproveitar várias explorações.
A maioria das façanhas é frequentemente usada por empresas de segurança ofensivas italianas que foram fornecidas ferramentas de hackers para agências policiais e governamentais.
Invasores por trás do malware Zegost usando documento powerpoint da Microsoft e infectam as vítimas assim que abrem o documento malicioso.
Os pesquisadores também observaram que uma dessas atualizações inclui o uso de programação COM . Como acontece com muitas outras estratégias incomuns, o uso de COM em malware também não é visto normalmente.
Processo de infecção de malware Zegost
Inicialmente, direcionar vítimas maliciosas via e-mails de spear phishing com um anexo de arquivo malicioso e enganar as vítimas para abri-lo.
O Zegost inclui várias funcionalidades projetadas para limpar os logs de eventos do aplicativo, da segurança e do sistema após a infecção para voar sob o radar para evitar a detecção.
Depois de concluir o processo de infecção, ele começa a identificar a versão e a especificação do SO da máquina alvo e, em seguida, verifica se algum dos processos a seguir está em execução e envia a lista para o servidor C2,
360tray.exe, 360sd.exe, avp.exe, KvMonXP.exe, RavMonD.exe, McShield.exe, egui.exe, NOD32, kxetray.exe, avcenter.exe, ashDisp.exe, rtvscan.exe, ksafe.exe, QQPCRTP.exe, K7TSecurity.exe, QQ.exe, QQ, knsdtray.exe, TMBMSRV.exe, Miner.exe, AYAgent.exe, patray.exe, V3Svc.exe, QUHLPSVC.EXE, QUICK HEAL, mssecess.exe, S .exe, 1433.exe, DUB.exe, ServUDaemon.exe, BaiduSdSvc.exe, vmtoolsd.exe, usysdiag.exe
Ele também se concentra para coletar a lista de modem, proxies e informações de conectividade da LAN, número da porta RDP, número de login do QQ e compartilhar com o servidor de comando e controle que controla o invasor.
O malware também coloca o Gravador de Teclas para registrar as atividades da vítima e compartilhá-las nos seguintes servidores C2:
- hxxp: //lu1164224557.oicp.net: 45450
- hxxp: //212951jh19.iok.la: 9988
De acordo com a pesquisa da Fortinet , “Nossas observações para essa última execução, no entanto, revelam que vários subdomínios que atuam como comando e controle são baseados em domínios DNS dinâmicos (DDNS) e vêm de outros locais além da China, como Singapura e Taiwan. e os Estados Unidos. ”
