Троян использует SMS Bomber для сбора данных устройства
Исследователи кибербезопасности компании Check Point обнаружили новую кампанию , приписываемую китайской хакерской группе Tropic Trooper , которая использует новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah.
Троянец входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует значок SMS Bomber и использует бомбер в качестве встроенного исполняемого файла.
В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe.
Эта полезная нагрузка представляет собой новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2 сервер. Окончательная полезная нагрузка кодируется в JPG изображение с использованием стеганографии . Собранная трояном информация включает следующее:
- SSID ближайшей к устройству жертвы локальной беспроводной сети;
- Имя компьютера;
- MAC-адрес;
- версия ОС;
- информацию об установленном антивирусном ПО;
- данные о наличии файлов WeChat и Tencent .
.png)
Более того, шифрование Yahoyah представляет собой специальную реализацию AES, которая дважды выполняет последовательность инвертированных циклов, чтобы усложнить специалистам анализ атаки.
Источник: securitylab
