Un val de atacuri cibernetice a afectat recent bănci și alte companii folosind unelte gratuite de testare încărcate direct în memorie în locul malware-ului tradițional, făcând detecția lor mai dificilă, scrie csoonline.com.
Cercetătorii de la firma de securitate cibernetică Kaspersky Lab au început să investigheze aceste atacuri după ce echipa de securitate de la o bancă care nu a fost numită a descoperit Meterpreter în memoria RAM a serverului care funcționa drept controler de domeniu pentru Windows.
Meterpreter face parte din cadrul uneltei de teste de penetrare Metasploit care este folosită de echipele de securitate interne și de hackeri rău intenționați.
În timpul analizei, cercetătorii de la Kaspersky au găsit scripturi PowerShell ascunse stocate în arhivele de sistem ale serverului afectat. Aceste scripturi erau create pentru a încărca Meterpreter direct în meoria RAM, fără a lăsa nicio urmă pe hard disk.
Aceste scripturi au fost generate cu ajutorul cadrului Metasploit și au fost configurate să fie executate de servicii malițioase care au fost setate manual cu ajutorul uneltei de configurare și administrare a Windows (Service Control Manager Configuration Tool).
Aceste unelte s-au transformat într-un cod malware capabil să se ascundă în memorie, fără să fie văzut, și să colecteze parolele administratorilor de sistem, pentru ca atacatorii să poată controla de la distanță sistemele victimei. Scopul final pare să fie accesarea proceselor financiare, scrie agora.ro.
Kaspersky Lab a dezvăluit că aceste atacuri se întâmplă la scară largă, lovind peste 140 de rețele ale companiilor mari din mai multe domenii de activitate, cele mai multe victime fiind localizate în SUA, Franța, Kenya, Marea Britanie și Rusia.
În total, au fost înregistrate infectări în 40 de țări.
Nu se știe cine se află în spatele atacurilor. Folosirea unui cod exploit de tip open source, a instrumentelor Windows obișnuite și a domeniilor necunoscute face aproape imposibil să determini grupul responsabil – sau dacă este un singur grup sau sunt mai multe care folosesc aceleași instrumente.
Atacatorii sunt activi încă, așa că este important de notat că detecția unui astfel de atac se poate face doar în memoria RAM, rețea și registru – și că, în astfel de cazuri, folosirea regulilor Yara bazate pe scanarea fișierelor malware sunt inutile.
Detaliile celei de-a doua părți a operațiunii, care arată cum au implementat atacatorii tactici unice pentru a retrage bani de la bancomate, vor fi prezentate de Sergey Golovanov și Igor Soumenkov, cercetători ai Kaspersky Lab, la Security Analyst Summit, care va avea loc între 2 și 6 aprilie 2017.
Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…
Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…
La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…
Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…
Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…
Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…