Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Ryuk gerelateerde malware steelt vertrouwelijke militaire en financiële bestanden

Cyber security Envicom todayseptember 12, 2019 9

Background
share close

Er is een nieuwe malware ontdekt met vreemde associaties met de Ryuk Ransomware om vertrouwelijke financiële, militaire en wet handhaving bestanden te zoeken en te stelen.

Maar toch Ryuk Ransomware de bestanden van een slachtoffer codeert en vervolgens losgeld eist, is het niet bekend dat het daadwerkelijk bestanden van een geïnfecteerde computer steelt. Een nieuwe infectie die vandaag door Malware Hunter Team is ontdekt, doet precies dat door te zoeken naar gevoelige bestanden en deze te uploaden naar een FTP-website onder controle van de aanvaller.

Om dit voorbeeld nog interessanter te maken, bevat deze data infiltrerende malware ook enkele vreemde verwijzingen naar Ryuk in de code.

Zoeken naar vertrouwelijke bestanden

In gesprekken met reverse engineer en beveiliging onderzoeker Vitali Kremez krijgen we een idee van hoe de documenten dief werkt. Wanneer uitgevoerd, zal de dief een recursieve scan van alle bestanden op een computer uitvoeren en zoeken naar Word docx en Excel XLSX-bestanden om te stelen.

Bij het zoeken naar bestanden, als het mappen of bestanden tegenkomt die overeenkomen met bepaalde tekenreeksen, stopt het met het controleren van het bestand en gaat het naar de volgende, vergelijkbaar met hoe ransomware zou werken.

Een volledige lijst van de bestanden en mappen op de zwarte lijst vindt u aan het einde van dit artikel, inclusief uw standaardbestanden zoals “Windows, Intel, Mozilla, openbaar enzovoort”.

Bovendien slaat het ook bestanden over die aan Ryuk zijn gekoppeld, zoals “RyukReadMe.txt” en bestanden met de extensie “.RYK”.

Zwarte lijst Strings

Als het bestand de zwarte lijst passeert, controleert de dief of het een docx of XLSX-bestand is en zoals hieronder wordt weergegeven.

Zoeken naar docx en XLSX-bestanden

Wanneer een docx of XLSX-bestand wordt gevonden, gebruikt de dief libzip en de functies zip_open en zip_trace om te controleren of het bestand een geldig Word of Excel document is. Dit wordt gedaan door de aanwezigheid van de bestanden word/document.xml (word) of xl /work bladen/bladen (excel) in het Office document te controleren en te goedkeuren.

Word-document verifiëren

Als het een geldig bestand is, zal het de bestandsnaam vergelijken met een lijst van 77 strings. Alle tekenreeksen worden vermeld aan het einde van het document en bevatten vermeldingen zoals “markt bedraad, 10-Q, fraude, hack, tank, defensie, militair, controleren, ingedeeld, geheim, clandestien, undercover,  federaal” enz.

Woord van belang

Zoals u kunt zien, is de acteur op zoek naar vertrouwelijke militaire geheimen, bankinformatie, fraude, opsporing documenten en andere gevoelige informatie.

Vreemd genoeg zoekt het ook naar bestanden die de eerste namen “Emma, Liam, Olivia, Noah, William, Isabella, James, Sophia en Logan” bevatten.

Overeenkomende bestanden worden vervolgens geüpload via FTP naar de 66.42.76.46/files_server/a8-5 server zoals te zien in de onderstaande code.

Bestanden stelen door te uploaden naar FTP-server

Na het scannen van de lokale machine, krijgt de malware een lijst met IP-adressen uit de ARP-tabel van de computer. Vervolgens gaat het verder met het zoeken naar bestanden op beschikbare aandelen.

ARP-tabel verkrijgen

Het is niet bekend hoe deze malware wordt geïnstalleerd, maar volgens Envicom, Kremez en Malware Hunter Team is de theorie dat deze infectie kan worden uitgevoerd voordat een machine wordt geïnfecteerd om interessante bestanden te verzamelen voordat deze worden gecodeerd.

Vreemde banden met Ryuk Ransomware

Zoals we al hebben besproken, slaat deze dief opzettelijk bestanden over die zijn gekoppeld aan de Ryuk Ransomware, zoals RyukReadMe.txt, UNIQUE_ID_DO_NOT_REMOVE, en alle bestanden met de extensie .RYK.

Bovendien zijn er code overeenkomsten die de dief en Ryuk Ransomware gemeen hebben. De dief bevat bijvoorbeeld een functie die een nieuw bestand maakt en de extensie .RYK toevoegt alsof deze het bestand codeert. Deze functie wordt niet gebruikt door de dief.

Stealer bevat Ryuk’s creëer bestand methode

De stealer controleert ook op de aanwezigheid van een bestand met de naam Ahnlab, zoals hieronder wordt weergegeven.

Dief op zoek naar Ahnlab

Kremez vertelde Envicom dat Ryuk Ransomware ook op de aanwezigheid van dit bestand controleert, zoals hieronder wordt getoond.

Ryuk Ransomware op zoek naar Ahnlab

Maar toch er duidelijke banden zijn tussen deze dief en Ryuk, is het niet bekend of de groep uit dezelfde groep of iemand toegang tot de code heeft gekregen en deze in hun eigen programma heeft gebruikt.

“Het kan erop wijzen dat iemand met bron toegang tot Ryuk ransomware eenvoudig code kopieert/plakt en wijzigt om er een dief van te maken of er zo uit te zien”, vertelde Kremez aan Envicom in een gesprek over deze malware.

Bovendien werkt Ryuk zonder enige afhankelijkheden wanneer het in het verleden door Envicom is getest, terwijl deze dief een MingW uitvoerbaar bestand lijkt te zijn dat vele DLL vereist om aanwezig te zijn om correct te kunnen worden uitgevoerd.

Dit kan erop duiden dat de dief handmatig wordt geïnstalleerd of als een pakket met alle benodigde componenten wordt verwijderd.

Naarmate er meer voorbeelden beschikbaar komen, zullen we hopelijk het installatie proces in de toekomst zien.


Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *