Lassen Sie InnfiRAT ein, und Ihre Passwörter und Crypto Wallet-Daten können gestohlen werden

Sie könnten denken, dass es nicht so schwer ist, das Geld der Leute über das Internet zu stehlen. Sie müssen nur einige Kreditkartendaten oder Online-Banking-Anmeldeinformationen kompromittieren und können loslegen. Die Sache ist, es ist ein bisschen komplizierter.

Da es so viele Cyberkriminelle gibt, haben Banken und Finanzinstitute die notwendigen Vorkehrungen getroffen, um sicherzustellen, dass ihre Kunden besser geschützt sind. Aufgrund der derzeitigen Betrugsbekämpfungsmechanismen ist das Stehlen von Geld im Internet zwar nicht unmöglich, aber viel schwieriger als früher, und die Chancen, erwischt zu werden, sind viel größer. Aus diesem Grund interessieren sich viele Gauner mehr für Kryptowährung. Die Rückverfolgung von Transaktionen mit digitalen Münzen ist sehr viel komplizierter, und das Stehlen dieser Münzen ist bei weitem nicht so schwierig. So machen es die Betreiber der neuen InnfiRAT-Malware.

InnfiRAT - ein Neuling auf einem überfüllten Markt

InnfiRAT ist ein neuer Remote Access Trojaner (oder RAT, wie der Name schon sagt), der kürzlich von Forschern von Zscaler entdeckt und analysiert wurde. Die Malware wurde in .NET geschrieben und hat eine besondere Affinität zu Kryptowährungs-Wallets. Wie wir gleich herausfinden werden, geht ihre Funktionalität jedoch weit darüber hinaus.

Leider gab Zscaler nicht allzu viele Informationen darüber, wie die Malware verwendet wird. Anscheinend haben sie es in freier Wildbahn gesehen, aber sie sagten nichts darüber, wie groß die Kampagne ist und an wen sie gerichtet ist. Der Bericht enthält keine Details darüber, wie die Opfer infiziert sind. Wenn wir allerdings raten müssen, würden wir wahrscheinlich sagen, dass InnfiRAT dem Beispiel anderer Malware-Stämme dieser Art folgt und sich mithilfe von Spam-E-Mails verbreitet. Zum Glück haben die Forscher zahlreiche Informationen zu InnfiRAT hinzugefügt, sobald es sich auf dem Computer eines Opfers befindet.

Stealth- und Detection-Evasion-Techniken gibt es zuhauf

Wie zu erwarten, bietet InnfiRAT eine Reihe von Funktionen, die Sicherheitsforscher und Anti-Malware-Produkte verwirren. Wenn es zum ersten Mal ausgeführt wird, kopiert es sich als NvidiaDriver.exe im Ordner% AppData%. Anschließend wird eine Base64-codierte, tragbare ausführbare Datei in den Speicher geschrieben und zunächst mit einigen Überprüfungen überprüft, um sicherzustellen, dass sie nicht unter den wachsamen Augen von Reverse Engineers ausgeführt wird.

Die Malware überprüft und überprüft verschiedene Daten zu dem Gerät, das sie infiziert, um sicherzustellen, dass es nicht auf einer virtuellen Maschine installiert wurde. Dinge wie der Name des Computers, die Anzahl der Kerne und die Anzahl der logischen Prozessoren werden überprüft, und wenn InnfiRAT bestimmte Schlüsselwörter findet, wird es sofort beendet. Für alle Fälle ist es auch so konzipiert, dass es die Liste der Prozesse durchläuft und nach dem Task-Manager von Windows sowie einigen anderen Tools sucht, die Sicherheitsfachleute regelmäßig verwenden. Wenn es feststellt, dass es von einer normalen Person auf einem normalen PC gestartet wurde, setzt InnfiRAT seinen Betrieb fort.

Er sendet die öffentliche IP-Adresse des Opfers zusammen mit anderen Informationen an den Command and Control-Server (C & C) zurück. Aus Gründen, die nicht vollständig geklärt sind, werden alle laufenden Browserprozesse abgebrochen und die Persistenz mithilfe einer geplanten Aufgabe hergestellt.

Eine vielseitige RAT

Nach Abschluss der Infektion wartet InnfiRAT auf Anweisungen von C & C. Wie bei jeder Malware dieser Art ist die Funktionalität so vielfältig wie die Befehle, die das C & C sendet.

Bei Informationsdiebstahl stehen Kryptowährungs-Wallets und Browser-Cookies im Vordergrund. InnfiRAT sucht in% AppData% nach den Ordnern "Bitcoin" und "Litecoin". Wenn es sie findet, kopiert es die Daten aus der wallet.dat-Datei und sendet sie an C & C zurück. Die Malware stiehlt auch Browsing-Cookies von den meisten gängigen Browsern, die später zum Kompromittieren ganzer Online-Konten verwendet werden können.

Neben Cookies und Kryptowährungskonten kann InnfiRAT auch Textdateien stehlen, die kleiner als 2 MB sind, wodurch möglicherweise noch vertraulichere Informationen angezeigt werden. Apropos, die Malware hat die Fähigkeit, Prozesse abzubrechen, wodurch die Sicherheitsprodukte deaktiviert werden könnten, die versuchen könnten, sie zu stoppen. Und sobald dies der Fall ist, kann es Befehle auf dem infizierten Computer ausführen und zusätzliche Nutzdaten herunterladen, was bedeutet, dass die Möglichkeiten für einen Angriff mehr oder weniger unbegrenzt sind.

InnfiRAT ist immer noch eine neue Malware-Familie, was bedeutet, dass es viel Raum für die Weiterentwicklung gibt. Die Forscher von Zscaler haben versprochen, dass sie ein genaues Auge darauf haben werden. Angesichts der Gefährlichkeit kann man mit Sicherheit sagen, dass die Benutzer auch etwas vorsichtiger sein sollten.