AdvisorsBot malver napada hotele, restorane i telekomunikacione kompanije
Napad se izvodi pomoću malicioznog Word dokumenta.
Nedavno je otkriven AdvisorsBot malver čiju distribuciju vrši hakerska grupa TA555. Meta su hoteli, restorani i telekomunikacione kompanije. Malver se širi u različitim formama preko emaila sa lažnim sadržajem kojim napadači kompromituju uređaj žrtve i kradu osetljive informacije.
Malver se širi u 3 različite forme – jedan email cilja hotele, drugi restorane, a treći telekomunikacione kompanije. Svi emailovi sadrže maliciozni macro. Žrtve bivaju prevarene da omoguće macro koji izvršava PowerShell komandu kojom se preuzima i izvršava AdvisorsBot malver.
Kasnije su napadači prešli na tehniku koja im pomaže da downloaduju još jednu PowerShell skriptu kada se izvrši PowerShell komanda, a time se AdvisorsBot izvršava bez zapisivanja na disk.
Tehnika inficiranja AdvisorsBot malvera
Ime malvera AdvisorsBot je nastalo zbog toga što se u C&C serveru napadača reč ’advisors’ često koristi. Napadači koriste dosta tzv. ’junk’ koda, kao što su dodatne instrukcije, uslovne izjave i petlje kako bi ojačali tehnike anti-analize, odnosno kako bi odbrambenim sistemima otežali analizu malvera.
Malver sadrži listu hard code hash vrednosti koje se upoređuju sa hashom tekućih procesa VSN-a sistema, a ako se podudaraju malver se izvršava. Napadači implementiraju dodatne tehnike anti-analize kojima upoređuju SID računara sa listom od 13 hard code vrednosti, a sve kako bi žrtvu povezali sa C&C serverom i povećali stopu uspešnosti.
Malver koristi HTTPS kanal komunikacije sa C&C serverom. U zahtevu bota C&C serveru, URI sadrži kodirane podatke koji se koriste za identifikovanje žrtve. Preciznije, podaci koji se kodiraju u URI sadrže SID računara, CRC32 hash sa imenom računara, neke nepoznate hard code vrednosti i verziju Windowsa.
Konačno, napadač modulom otiska prsta koji se šalje sa C&C servera može da zada komandu kojom malver pravi screenshot ekrana žrtve, izvlači detalje MS Outlook naloga i obavlja druge maliciozne aktivnosti.
Izvor: GBHackers