Malware Sneaky bersembunyi di balik gerakan mouse, para ahli mengatakan

Peneliti dari vendor keamanan FireEye telah menemukan ancaman persisten canggih baru (APT) yang menggunakan beberapa teknik penghindaran deteksi, termasuk pemantauan klik mouse, untuk Tentukan interaksi manusia aktif dengan komputer yang terinfeksi.

Disebut Trojan.APT.BaneChant, malware didistribusikan melalui dokumen Word yang dilengkapi dengan exploit yang dikirim selama serangan email yang ditargetkan. Nama dokumen itu diterjemahkan menjadi "Islamic Jihad.doc."

"Kami menduga bahwa dokumen senjata ini digunakan untuk menargetkan pemerintah Timur Tengah dan Asia Tengah," kata peneliti FireEye Chong Rong Hwa pada hari Senin di sebuah posting blog.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Serangan multistage

Serangan bekerja dalam beberapa tahap. Unduhan dokumen berbahaya dan mengeksekusi komponen yang mencoba untuk menentukan apakah lingkungan operasi adalah yang tervirtualisasi, seperti kotak pasir antivirus atau sistem analisis malware otomatis, dengan menunggu untuk melihat apakah ada aktivitas mouse sebelum memulai tahap serangan kedua.

Pemantauan klik mouse bukan teknik pendeteksian deteksi baru, tetapi malware yang menggunakannya di masa lalu biasanya memeriksa satu klik mouse, kata Rong Hwa. BaneChant menunggu setidaknya tiga klik mouse sebelum melanjutkan untuk mendekripsi URL dan mengunduh program backdoor yang menyamar sebagai file gambar.jpg.

Malware juga menggunakan metode penghindaran pendeteksian lainnya. Misalnya, selama tahap pertama serangan, dokumen berbahaya mengunduh komponen penetes dari URL ow.ly. Ow.ly bukan domain jahat, tetapi layanan pemendekan URL.

Alasan di balik penggunaan layanan ini adalah untuk memotong layanan daftar hitam URL yang aktif di komputer yang ditargetkan atau jaringannya, kata Rong Hwa. (Lihat juga "Penyalahgunaan spam. Layanan penyingkat URL Gov dalam penipuan di rumah."

Demikian pula, selama tahap kedua serangan, file berbahaya.jpg diunduh dari URL yang dihasilkan dengan dinamika Tanpa-IP Layanan Domain Name System (DNS).

Setelah dimuat oleh komponen pertama, file.jpg menjatuhkan salinannya sendiri yang disebut GoogleUpdate.exe di folder "C: ProgramData Google2 \". Ini juga membuat tautan ke file di folder start-up pengguna untuk memastikan pelaksanaannya setelah setiap reboot komputer.

Ini adalah upaya untuk mengelabui pengguna agar percaya bahwa file tersebut adalah bagian dari layanan pembaruan Google, program sah yang biasanya dipasang di bawah "C: Program Files Google Update \", kata Rong Hwa.

Program backdoor mengumpulkan dan mengunggah kembali informasi sistem ke server perintah-dan-kontrol. Ini juga mendukung beberapa perintah termasuk satu untuk mengunduh dan mengeksekusi file tambahan pada komputer yang terinfeksi.

Seiring kemajuan teknologi pertahanan, malware juga e Vol, kata Rong Hwa. Dalam contoh ini, malware telah menggunakan sejumlah trik, termasuk menghindari analisis kotak pasir dengan mendeteksi perilaku manusia, menghindari teknologi ekstraksi biner tingkat jaringan dengan melakukan enkripsi XOR multibyte file yang dapat dieksekusi, menyamar sebagai proses yang sah, menghindari analisis forensik dengan menggunakan fileless kode berbahaya langsung dimuat ke dalam memori dan mencegah daftar hitam domain otomatis dengan menggunakan redirection melalui pemendekan URL dan layanan DNS dinamis, katanya.