Experten des Proofpoint Unternehmen festgestellt, dass die russisch-sprachigen Hack Gruppe TA505 schaltete das neue Lader mit, AndroMut.
icht wird angenommen, dass diese Gruppierung zumindest existiert seit 2014 und ist mit einem solchen großen bösartigen Kampagnen wie die Verteilung zugeordnet Drirex und Shifu Banker, Locky Kryptograph, sowie die Erpresser Philadelphia und GlobeImposter, ServHelper Backdoors und FlawedAmmyy.Jetzt Experten bemerkt dass im Juni 2019, Hacker begann die neuen AndroMut Bootloader in C geschrieben verwenden ++ RAT FlawedAmmyy zu verteilen.
“Proofpoint Forschung entdeckt AndroMut Malware herunterladen, die als bezeichnet wird „FlawedAmmyy.“ FlawedAmmyy ist eine voll funktionsfähige RAT, die zuerst in der frühen beobachtet 2016 und basiert auf dem durchgesickerten Quellcode eines legitimen Shareware-Tool, Ammyy”, - sagte Forscher.
Zur selben Zeit, Forscher fanden heraus, dass der neue Lader so ziemlich die berühmte Andromeda Malware-Familie ähnelt, welches in 2017 in der Welt eine der größten Botnets gebildet.
Proofpoint Analysten deuten darauf hin, dass TA505 Mitglieder Quellcodes Andromeda durchgesickert verwenden kann, oder einer der Schöpfer des Botnetzes arbeitet mit der Gruppierung.
Die Anwendung von AndroMut wurde in zwei verschiedenen Kampagnen aufgezeichnet: die erste berührte Benutzer aus Südkorea, der zweite ist bei Finanzinstituten in Singapur gerichtet, die Vereinigten Arabischen Emirate und die Vereinigten Staaten. AndroMut wird als erste Stufe des Angriffs verwendet: die Angreifer verteilt Fischerei E-Mails mit schädlichen Anhängen HTM und HTML. Jene, im Gegenzug, führen zu Word- oder Excel-Dateien mit bösartigen Makros. Nach dem Öffnen einer solchen Datei, AndroMut und dann FlawedAmmyy die Maschine des Opfers eindringen.
Die Forscher beachten Sie, dass AndroMut mehrere Methoden zum Schutz gegen Analyse verwendet. So, die Malware überprüft, ob es in der Sandbox, untersucht die Prozessnamen, achtet auf die Bewegungen des Mauszeigers, sucht nach dem Wein Emulator und Debugger, und löscht auch den Speicher nach dem wichtigen Daten unter Verwendung von.
“In den letzten zwei Jahren, Proofpoint Forscher beobachteten TA505 und eine Reihe anderer Spieler konzentrierten sich auf Download-, RATs, Informationen stealers, und Banking-Trojaner. Mit diesem neuen Juni 2019 drücken, Commercial Banking Verticals in den Vereinigten Staaten, UAE, und Singapur wird die primären Ziele im Rahmen der TA505 üblichen „folgen dem Geld“ Verhaltensmuster sein. Der neue AndroMut Downloader, wenn sie mit dem FlawedAmmy RAT kombiniert als seine Nutzlast erscheint TA505 der neue Haustier für den Sommer 2019 zu sein”, - Bericht von Proofpoint-Spezialisten.
zusätzlich, Trend Micro Experten einen Bericht über die neuesten TA505 Kampagnen in dieser Woche. Die Forscher nicht nur darauf geachtet, die neue Gruppierung loader (Trend Micro Analysten gaben ihm den Namen Gelup), aber auch beschrieben, ein weiteres neues Werkzeug in der Hacker-Arsenal, FlowerPippi Malware.
lesen Sie auch: Die neue Version des Dridex Banker von Antiviren-Programmen Rutschen
FlowerPippi hat auch loader und Backdoor-Fähigkeiten, So, es kann verwendet werden, um zusätzliche Malware auf eine infizierte Maschine zu liefern. Laut Trend Micro, diese Backdoor ist auch zu sammeln und zu stehlen Informationen verwendet, und beliebige Befehle auszuführen, dass es aus dem Management-Server empfängt. Alle technischen Details über FlowerPippi kann in einem separaten Gutachten finden.
