Skrämmande skadlig kod döljer sig bakom musrörelsen, säger experter

Forskare från säkerhetsleverantören FireEye har upptäckt ett nytt avancerat, kvarhållande hot (APT) som använder flera metoder för upptäckt undvikande, inklusive övervakning av musklick, till bestämma aktiv mänsklig interaktion med den infekterade datorn.

Called Trojan.APT.BaneChant, skadlig programvara distribueras via ett Word-dokument riggt med ett utnyttjande skickat under riktade email attacker. Dokumentets namn översätts till "Islamic Jihad.doc." "Vi misstänker att detta vapenbehandlade dokumentet användes för att rikta sig till regeringarna i Mellanöstern och Centralasien", säger FireEye-forskaren Chong Rong Hwa i måndags i ett blogginlägg.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Multistage attack

Attacken fungerar i flera steg. Det skadliga dokumentet hämtar och exekverar en komponent som försöker bestämma om operativmiljön är en virtualiserad, som en antivirus sandlåda eller ett automatiserat malwareanalyssystem, genom att vänta på att se om det finns någon musaktivitet innan den andra attackeringen startas.

Övervakning av musklick är inte en ny upptäcktsviktningsteknik, men skadlig kod som brukar använda det i det förflutna kontrolleras generellt för ett enda musklick, sa Rong Hwa. BaneChant väntar på minst tre musklick innan du fortsätter att dekryptera en URL och hämta ett bakdörrsprogram som masquerades som en.jpg-bildfil, sa han.

Malware använder även andra metoder för upptäckt undvikande. Till exempel, under den första etappen av attacken, hämtar det skadliga dokumentet droppkomponenten från en ow.ly URL. Owd är inte en skadlig domän, men är en URL-förkortningstjänst.

Bakgrunden till att använda denna tjänst är att kringgå URL-svarta listningstjänster som är aktiva på den riktade datorn eller nätverket, säger Rong Hwa. (Se även "Spammare missbrukar.gov-URL-kortservicen i hemma-bedrägerier."

På samma sätt laddas den skadliga.jpg-filen under den andra etappen av attacken från en URL genererad med No-IP-dynamiken Domännamnssystem (DNS) -service.

Efter att ha laddats av den första komponenten släpps.jpg-filen en kopia av sig själv som heter GoogleUpdate.exe i mappen "C: ProgramData Google2 \". Den skapar också en länk till filen i användarens startmapp för att säkerställa att det körs efter varje dator omstart.

Detta är ett försök att lura användare att tro att filen är en del av Googles uppdateringstjänst, ett legitimt program som normalt installeras under "C: Program Files Google Update \", säger Rong Hwa.

Backdoor-programmet samlar och laddar upp systeminformationen tillbaka till en kommando- och kontrollserver. Den stöder också flera kommandon, inklusive en för att ladda ner och exekvera Ytterligare filer på de infekterade datorerna.

Som försvarsteknologi går vidare, skadlig kod också e volves, sade Rong Hwa. I det här fallet har malware använt ett antal knep, bland annat undvikande av sandboxanalys genom att detektera mänskligt beteende, undviker binär extraktionsteknik på nätverksnivå genom att utföra multibyte XOR-kryptering av körbara filer, masquerading som en legitim process, undviker rättsmedicinsk analys genom att använda fileless skadlig kod laddas direkt i minnet och förhindrar automatisk svartlistning av domännamn genom att använda omdirigering via URL-förkortning och dynamiska DNS-tjänster, sa han.