Pelabur-pelabur Bitcoin diancam oleh kempen Orcus RAT

Computer Security News

Pakar Keselamatan Fortinet telah mendapati bahawa pencipta capaian jauh yang Trojan telah mensasarkan pelabur Bitcoin cuba untuk mendapat manfaat daripada kenaikan hari pada nilainya.

Hacker menghantar para pelabur e-mel pemalsuan pengiklanan Bitcoin baru perdagangan permohonan bot “Gunbot”, dicipta oleh GuntherLab atau Gunthy. Namun begitu, apa e-mel menyampaikan kepada para pelabur sebaliknya, adalah jahat Orcus RAT.

E-mel pemalsuan mengandungi satu. Lampiran ZIP yang menampilkan sebuah skrip BB yang mudah dibangunkan untuk men-download bersandiwara perduaan sebagai fail imej JPEG. Penyelidik Fortinet mendakwa bahawa hacker pula tidak pun cuba untuk menyembunyikan maksud mereka, kerana mereka tidak mahu atau mereka mempunyai sebarang pengetahuan teknikal untuk berbuat demikian.

Kali laksana dimuat turun adalah versi Trojanized sumber terbuka inventori sistem alat yang dipanggil sistem TTJ-inventori. Kekunci hardcoded digunakan untuk menyah enkripsi kod dikodkan ke lain laksana .NET PE yang dimuatkan dan dilaksanakan kepada ingatan.

Dengan menyemak kewujudan mutex yang dipanggil “dgonfUsV”, ancaman berbahaya memastikan bahawa ia adalah satu-satunya unsur yang berjalan di komputer yang dijangkiti.

Menurut Fortinet, dalam modul RunPE boleh melaksanakan modul tanpa menulis mereka ke dalam sistem. Selain itu, ianya mampu melaksanakan modul-modul di bawah executable sah dengan menjalankan aplikasi dalam mod digantung dan menggantikan proses memori dengan kod berniat jahat selepas itu. Oleh berkali-kali melaksanakan perisian yang berniat jahat, pengawal pengekalan terus ancaman berjalan.

Selain daripada mempunyai semua ciri-ciri yang permohonan sedemikian harus merangkumi, Orcus RAT boleh memuatkan plugin dan melaksanakan C# dan kod VB.net atas mesin jauh dalam masa nyata.

“Pada dasarnya, jika komponen pelayan mendapat ‘memasang’ sistem anda, orang di sisi lain adalah praktikal di hadapan Mesin anda sambil melihat dan mendengar anda pada masa yang sama – Ya, ia boleh mengaktifkan mikrofon dan webcam anda bahkan tanpa anda mengetahui,” pakar-pakar Fortinet katakan.

Di samping itu, Orcus ini mampu melumpuhkan lampu penunjuk pada webcam untuk mengintip pengguna dan melaksanakan untuk mengawasi pelaksanaan yang dimulakan semula komponen pelayan itu. Selain itu, jika pengguna cuba untuk membunuh proses, TIKUS boleh mencetuskan satu Blue skrin daripada kematian (BSOD).

Selain itu, begitu juga untuk banyak tikus lain, Orcus dalam ancaman pengambilan kata laluan ciri-ciri dan fungsi pembalakan utama. Di samping itu, perisian berniat jahat yang menawarkan satu plugin yang boleh digunakan untuk melaksanakan serangan Distributed Denial of Service (DDoS).

Pakar Keselamatan perasan bahawa hacker telah membuat beberapa perubahan kepada kandungan laman web rasmi pengedaran Orcus RAT (bltcointalk.com, yang cuba untuk meniru Bitcoin forum bitcointalk.org). Selain itu, mereka mengalih keluar fail imej tersebut di atas dari laman web yang menyiarkan fail ZIP sebaliknya.

Pasukan Fortinet juga mendapati laman web tambahan yang cuba untuk meniru domain yang sah dengan menukar Surat tunggal dalam URL. Sebab itu, pakar-pakar mencadangkan bahawa hacker kitaran antara laman web apabila bertukar kepada kempen baru.


Leave a Reply

Your email address will not be published. Required fields are marked *