Laissez InnfiRAT entrer et vos mots de passe et données du portefeuille crypté risquent d'être volés

InnfiRAT Steals Passwords and Cryptocurrency Wallets

Vous pourriez penser que voler argent des gens sur Internet est pas si difficile. Vous ne faites que compromettre des détails de carte de crédit ou des identifiants de banque en ligne, et vous êtes prêt à partir. Le problème, c’est un peu plus compliqué que cela.

En raison du grand nombre de cybercriminels, les banques et les institutions financières ont pris les précautions nécessaires pour mieux protéger leurs clients. Les mécanismes antifraude actuels signifient que bien que ce ne soit pas impossible, voler de argent en ligne est beaucoup plus difficile qu auparavant et que les chances de se faire prendre sont beaucoup plus importantes. est pourquoi beaucoup escrocs sont plus intéressés par la crypto-monnaie. Traquer les transactions avec des pièces numériques est beaucoup plus compliqué, et les voler est loin d’être aussi difficile. Voici comment les opérateurs du nouveau malware InnfiRAT le font.

InnfiRAT - un nouveau venu sur un marché surpeuplé

InnfiRAT est un nouveau cheval de Troie accès à distance (ou RAT, comme son nom indique), qui a récemment été découvert et analysé par des chercheurs de Zscaler. Le logiciel malveillant a été écrit en .NET et possède une affinité particulière pour les portefeuilles de crypto-devises, même si, comme nous le verrons dans une minute, ses fonctionnalités vont bien au-delà.

Malheureusement, Zscaler a pas donné trop informations sur la manière dont le logiciel malveillant est utilisé. Apparemment, ils l’ont vue à l’état sauvage, mais ils n’ont rien dit sur l’ampleur de la campagne et sur le public visé. Le rapport ne contient pas de détails sur la manière dont les victimes sont infectées, bien que, si nous devions deviner, nous dirions probablement qu InnfiRAT suit exemple autres types de programmes malveillants de ce type et se distribue à aide de spams. Heureusement, les chercheurs ont fourni de nombreuses informations sur ce que fait InnfiRAT une fois qu’il se trouve sur l’ordinateur de la victime.

Les techniques de furtivité et de détection-évasion abondent

Comme vous vous en doutez, InnfiRAT est doté de nombreuses fonctionnalités conçues pour confondre les chercheurs en sécurité et les produits anti-malware. Lorsqu il exécute pour la première fois, il se copie sous le nom NvidiaDriver.exe dans le dossier% AppData%. Il écrit ensuite un fichier exécutable portable codé en Base64 en mémoire et commence par effectuer quelques vérifications pour assurer qu il ne fonctionne pas sous le regard vigilant des ingénieurs du reverse engineering.

Le logiciel malveillant vérifie et vérifie deux fois différentes données relatives au périphérique qu il essaie infecter afin de assurer qu il a pas été placé sur une machine virtuelle. Des éléments tels que le nom de ordinateur, le nombre de cœurs et le nombre de processeurs logiques sont examinés. Si InnfiRAT trouve certains mots clés, il se termine immédiatement. Juste au cas où, il est également conçu pour parcourir la liste des processus et rechercher le gestionnaire de tâches de Windows, ainsi que quelques autres outils utilisés régulièrement par les professionnels de la sécurité. il détermine qu il a été lancé par une personne ordinaire sur un PC ordinaire, InnfiRAT continue son fonctionnement.

Il renvoie adresse IP publique de la victime, ainsi que autres informations, au serveur de commande et de contrôle (C & C). Pour des raisons qui ne sont pas complètement claires, il supprime tous les processus de navigateur en cours exécution et établit la persistance à aide une tâche planifiée.

Un RAT aux multiples talents

Une fois l’infection terminée, InnfiRAT attend les instructions de C & C. Comme avec tous les logiciels malveillants de ce type, la fonctionnalité est aussi variée que les commandes envoyées par C & C.

En matière de vol d’informations, l’accent est mis sur les portefeuilles de crypto-monnaie et les cookies du navigateur.. InnfiRAT est conçu pour rechercher les dossiers "Bitcoin" et "Litecoin" dans% AppData%. il les trouve, il copie les données du fichier wallet.dat et les renvoie au C & C. Le logiciel malveillant vole également les cookies de navigation des navigateurs les plus courants, qui peuvent ensuite être utilisés pour compromettre des comptes en ligne complets.

En plus des cookies et des comptes de crypto-monnaie, InnfiRAT peut également voler des fichiers texte inférieurs à 2 Mo, ce qui peut exposer des informations encore plus sensibles. En parlant de cela, le malware a la capacité de tuer des processus qui pourraient le laisser désactiver les produits de sécurité susceptibles de l’arrêter. Et une fois que cela est fait, il peut exécuter des commandes sur la machine infectée et télécharger des charges utiles supplémentaires, ce qui signifie que les possibilités attaque sont plus ou moins illimitées.

InnfiRAT est toujours une nouvelle famille de logiciels malveillants, ce qui signifie qu’il a encore beaucoup à faire pour évoluer. Les chercheurs de Zscaler ont promis qu ils la surveilleraient de près, et vu à quel point est dangereux, il est prudent de dire que les utilisateurs devraient aussi être un peu plus prudents.

September 20, 2019
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.