Pingback Malware använder IMCP Windows-tjänsten för lömsk C2-kommunikation

Malwareforskare har identifierat en märklig ny malware-familj som riktar sig till Windows-system. Den använder ett populärt knep som kallas DLL-kapning för att lura Windows-operativsystemet för att köra en skadligt modifierad DLL lagrad i en systemmapp. Vanligtvis är många av DLL-filerna i dessa mappar betrodda av Windows, och de laddas av olika Windows-komponenter utan att kontrollera deras legitimitet. Naturligtvis kan detta förhindras genom att använda en uppdaterad antivirusprogramvara som kommer att avsluta skadliga filer innan de får chansen att orsaka problem.

Pingback Malware verkar maskera sig själv som en 'oci.dll' -fil, som laddas av Microsoft Distribuerad Transaktionskontrolltjänst. Men DLL-kapning är inte alls en ny teknik - den har använts av hackare i flera år, och det här är inte det speciella med detta projekt. Det som är speciellt med Pingback Malware är att den förlitar sig på Internet Control Message Protocol (IMCP) för att kommunicera med styrservern - samma protokoll används för grundläggande Windows-kommandon som ping och tracert .

Det skadliga implantatet väntar på inkommande ICMP-paket, som är markerade med en av tre speciella nummersekvenser - en säger att implantatet ska söka efter ett kommando att utföra, medan ett annat säger att det ska acceptera en nyttolast. Den tredje används under tiden för att returnera ett svar till styrservern. ICMP-kommunikation kan gå under radarn för verktyg för övervakning av nätverkstrafik, så det är inte förvånande att skaparna av Pingback Malware har valt att använda den.

System som skyddas av ett uppdaterat antivirusverktyg är säkra från Pingback Malwares attacker. Naturligtvis bör datoroperatörer försöka vara säkra när de surfar på nätet - undvik att interagera med okänt innehåll, skuggiga webbplatser, piratkopierad programvara / media och naturligtvis alltid vara försiktig med slumpmässiga e-postbilagor.