DownEx Malware som används i spionagekampanj

malware

En ny typ av skadlig programvara kallad DownEx har upptäckts av rumänska cybersäkerhetsforskare.

Den används i en sofistikerad spionagekampanj som riktar sig till statliga organisationer i Centralasien, med bevis som tyder på inblandning av Rysslandsbaserade hotaktörer. Attackerna utförs genom spjutfiske-e-postmeddelanden som innehåller en booby-fälld nyttolast, som är förklädd till en Microsoft Word-fil.

När bilagan väl har öppnats visas ett lockbetedokument medan ett skadligt HTML-program körs i bakgrunden. Denna HTA-fil är utformad för att upprätta kontakt med en fjärrstyrd kommando-och-kontrollserver för att hämta en nyttolast i nästa steg, vilket tros vara en bakdörr för att etablera persistens. Angriparna använder också anpassade verktyg för aktiviteter efter exploatering, inklusive C/C++-baserade binärfiler för att räkna upp nätverksresurser, ett Python-skript för att ta emot instruktioner för att stjäla filer, ta bort annan skadlig programvara och fånga skärmdumpar, och en C++-baserad skadlig programvara som heter DownEx för att exfiltrera filer till C2-servern.

Två andra varianter av DownEx har också upptäckts. Forskare noterade vidare att detta är en fillös attack, vilket innebär att det skadliga skriptet bara finns i minnet och aldrig kommer in på offrets enheter.

Vad är fillös skadlig programvara och vad gör den särskilt farlig?

Fillös skadlig programvara är en typ av skadlig programvara som fungerar i en dators minne, utan att lämna några spår på hårddisken. Detta gör det särskilt svårt att upptäcka och ta bort med traditionella antivirusprogram eftersom det inte finns några filer att skanna. Istället för att förlita sig på en fil eller körbar, levereras fillös skadlig programvara ofta genom tekniker som social ingenjörskonst, exploateringar eller skadliga makron i dokument.

En av de viktigaste egenskaperna hos fillös skadlig programvara är att den använder legitima program eller verktyg som redan finns på systemet, såsom PowerShell eller Windows Management Instrumentation (WMI), för att utföra sina skadliga aktiviteter. Genom att göra detta kan fillös skadlig programvara smälta in med legitim systemaktivitet och undvika upptäckt av traditionell antivirusprogramvara.

En annan anledning till att fillös skadlig programvara är särskilt farlig är att den ofta kan kringgå skyddsåtgärder för slutpunkter som brandväggar, intrångsdetektering och förebyggande system (IDS/IPS) och andra säkerhetsverktyg som förlitar sig på filbaserade signaturer eller mönstermatchande algoritmer. Dessutom, eftersom det inte skriver något till disk, kan det förbli oupptäckt under längre perioder och har en större chans att uppnå sina mål innan det upptäcks.

Fillös skadlig programvara används ofta i riktade attacker, till exempel mot finansiella institutioner eller andra högvärdiga mål, där målet är att få tillgång till känslig information eller system. Den kan också användas för mer utbredda attacker, såsom ransomware-kampanjer, där angriparna vill infektera så många system som möjligt.

År Zaib
May 12, 2023
Malware
Svenska
May 12, 2023
Malware

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

5 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.