Analiza kampanii oprogramowania adware o nazwie IsErIk

[Grandalf]

W miarę rozwoju branży szkodliwego oprogramowania codziennie pojawiają się nowe sztuczki dodane do arsenału cyberprzestępców. Nasz zespół ds. Zaawansowanej kontroli zagrożeń zidentyfikował ogromną ekspansję złośliwego repertuaru, mającego na celu odnowienie starych, ale niezapominanych zagrożeń. Głównym celem tej analizy jest moduł ładujący adware, odkryty po raz pierwszy w 2016 r., który utrzymał tak niski profil, że badacze wciąż nie zgodzili się na wspólną nazwę, ogólnie identyfikując ją jako zaawansowane trwałe oprogramowanie adware APA. Moduł ładujący został odkryty przez rutynowe monitorowanie wykrywania. Wskaźniki nowej kampanii na dużą skalę obejmowały zwiększoną liczbę zainfekowanych maszyn i próbek o podobnym działaniu, z których wszystkie mają wspólny mianownik w postaci parametru wiersza polecenia „IsErIk”. Chociaż udowodniono, że jest to oczywisty wskaźnik kompromisu, ErIk utrzymał tajną obecność pod pozorem ładowania głównie oprogramowania reklamowego, zagrożenie zwykle postrzegane przez ofiary jako niskie ryzyko. Nie wiadomo jeszcze, czy cyberprzestępcy dysponują mechanizmem przełączania między oprogramowaniem reklamowym a innymi rodzajami zagrożeń cybernetycznych. Przetrwanie i utrzymywanie się przez wiele warstw bezpieczeństwa jest trudne, szczególnie dla próbki należącej do znanej rodziny złośliwego oprogramowania. Jednak jego programiści postanowili zaryzykować, aby zyskać przewagę poprzednio udanej kampanii, a także wiedzę o jej upadku.

Cały artykuł (PDF):

Zaloguj lub Zarejestruj się aby zobaczyć!