Especialistas da empresa Proofpoint descobriram que o grupo corte de língua russa TA505 passou a usar o novo carregador, AndroMut.
Eut acredita-se que este agrupamento existe pelo menos desde 2014 e está associada a tais campanhas maliciosas de grande escala como a distribuição de Drirex e Shifu banqueiros, Locky criptógrafo, bem como os extortionists Filadélfia e GlobeImposter, ServHelper backdoors e FlawedAmmyy.Agora especialistas notaram que em junho 2019, hackers começaram a usar o novo bootloader AndroMut escrito em C ++ para distribuir RAT FlawedAmmyy.
“pesquisa Proofpoint descoberto AndroMut baixar malware que é referido como “FlawedAmmyy.” FlawedAmmyy é um RAT completo que foi observado pela primeira vez no início de 2016 e é baseado no código-fonte vazou de uma ferramenta shareware legítimo, Ammyy”, - disse pesquisadores.
Ao mesmo tempo, os pesquisadores descobriram que o novo carregador praticamente lembra o famoso Andromeda família de malware, Em que 2017 formou uma das maiores botnets do mundo.
analistas Proofpoint sugerem que TA505 membros podem utilizar códigos fonte Andromeda vazou, ou um dos criadores do botnet colabora com o agrupamento.
Aplicação de AndroMut foi gravado em duas campanhas diferentes: o primeiro tocou usuários da Coreia do Sul, a segunda destina-se a instituições financeiras em Cingapura, os Emirados Árabes Unidos e os Estados Unidos. AndroMut é utilizada como a primeira fase do ataque: os atacantes espalhar e-mails de pesca com anexos maliciosos HTM e HTML. Essa, por sua vez, levar a arquivos do Word ou Excel contendo macros maliciosos. Depois de abrir esse arquivo, AndroMut e depois penetrar FlawedAmmyy máquina da vítima.
Os pesquisadores observam que AndroMut utiliza vários métodos de proteção contra análise. assim, as verificações de malware se for na caixa de areia, examina os nomes de processo, presta atenção aos movimentos do cursor do mouse, pesquisas para o emulador e depuradores Wine, e também limpa a memória depois de utilizar dados importantes.
“Ao longo dos últimos dois anos, pesquisadores Proofpoint observado TA505 e uma série de outros jogadores focados em downloaders, RATs, ladrões de informação, e Trojans bancários. Com este novo junho 2019 empurrar, verticais de banca comercial nos Estados Unidos, UAE, e Cingapura parecem ser os principais alvos, como parte do usual “siga o dinheiro” padrão de comportamento do TA505. O novo downloader AndroMut, quando combinado com o FlawedAmmy RAT como sua carga parece ser novo animal de estimação do TA505 para o verão de 2019”, - especialistas Proofpoint relatório.
Além disso, Trend Micro especialistas publicou um relatório sobre as últimas campanhas TA505 esta semana. Os pesquisadores não só pagou atenção para o novo carregador de agrupamento (Trend Micro analistas lhe deu o nome Gelup), mas também descrita uma nova ferramenta no arsenal do hacker, FlowerPippi Malware.
Leia também: A nova versão do banqueiro Dridex deslizando de antivírus
FlowerPippi também tem capacidades carregador e backdoor, assim, ele pode ser usado para entregar o malware adicional para uma máquina infectada. De acordo com a Trend Micro, este backdoor também é usado para coletar e roubar informações, e para executar comandos arbitrários que ele recebe do servidor de gerenciamento. Todos os detalhes técnicos sobre FlowerPippi pode ser encontrado em um relatório de especialistas em separado.
