Pingback Malware bruker IMCP Windows-tjenesten for luskende C2-kommunikasjon

Malwareforskere har identifisert en spesiell ny malware-familie som er rettet mot Windows-systemer. Den bruker et populært triks kjent som DLL-kapring for å lure Windows-operativsystemet til å kjøre en skadelig modifisert DLL lagret i en systemmappe. Vanligvis er mange av DLL-filene i disse mappene klarert av Windows, og de vil bli lastet av forskjellige Windows-komponenter uten å sjekke legitimiteten. Selvfølgelig kan dette forhindres ved å bruke en oppdatert antivirusprogramvarepakke, som vil avslutte skadelige filer før de får sjansen til å forårsake problemer.

Pingback Malware ser ut til å maskere seg selv som en 'oci.dll' -fil, som lastes inn av Microsoft Distributed Transaction Control-tjenesten. Imidlertid er DLL-kapring på ingen måte en ny teknikk - den har blitt brukt av hackere i årevis, og dette er ikke det spesielle med dette prosjektet. Det som er spesielt med Pingback Malware er at den er avhengig av Internet Control Message Protocol (IMCP) for å kommunisere med kontrollserveren - den samme protokollen brukes til grunnleggende Windows-kommandoer som ping og tracert .

Det ondsinnede implantatet venter på innkommende ICMP-pakker, som er merket med en av tre spesielle nummersekvenser - en forteller implantatet å se etter en kommando å utføre, mens en annen ber den godta en nyttelast. Den tredje, i mellomtiden, brukes til å returnere et svar til kontrollserveren. ICMP-kommunikasjon kan gå under radaren til verktøy for overvåking av nettverkstrafikk, så det er ikke overraskende at skapere av Pingback Malware har valgt å bruke den.

Systemer beskyttet av et oppdatert antivirusverktøy er trygge for angrep fra Pingback Malware. Selvfølgelig bør datamaskinoperatører fortsatt prøve å holde seg trygge mens du surfer på nettet - unngå å samhandle med ukjent innhold, skyggefulle nettsteder, piratkopiert programvare / media og, selvfølgelig, alltid være forsiktig med tilfeldige e-postvedlegg.