RedEyes, en av dessa mest kända hackergrupper i världen, har nyligen återvänt till striden och släppt en ny skadlig programvara som kommer kamouflerad i till synes ofarliga bildfiler och ganska oupptäckbar, eftersom den lämnar väldigt få spår.
Så här infekterar M2RAT-skadlig programvara dig
De APT37 hackergrupp, även känd som RedEyes eller ScarCruft , är en nordkoreansk cyberspionagegrupp som tros vara statsstödd. Nu har det upptäckts att de använder en ny undvikande skadlig kod som heter M2RAT för datastöld och underrättelseinsamling.
Som rapporterat av AhnLab Security detta ny stam av skadlig programvara som heter M2RAT använder en delad minnessektion för kommandon och dataextrahering och lämnar mycket få funktionsspår på den infekterade maskinen.
Gruppen hackare skickade nätfiske-e-postmeddelanden som innehöll en skadlig bilaga till sina mål. Att öppna bilagan utlöser utnyttjandet av en gammal sårbarhet i EPS ( CVE-2017-8291 ) i Hangul-ordbehandlaren som vanligtvis används i Sydkorea. Exploateringen gör att skalkod exekveras på offrets dator som laddas ner och körs en skadlig körbar fil som lagras i en JPEG-bild .
Denna bildfil använder steganografi en teknik som gör att kod kan döljas i filer, för att smyg införa M2RAT-körbara filen (“lskdjfei.exe”) i systemet och injicera den i “explorer.exe”.
Hackare infekterar Windows och telefoner
M2RAT-bakdörren fungerar som en grundläggande fjärråtkomsttrojan som utför tangentloggning, datastöld, kommandoexekvering och skärmdump tar, som aktiveras med jämna mellanrum och fungerar självständigt utan behov av ett kommando. operatörsspecifik. Skadlig programvara stöder kommandon som samlar in information från den infekterade enheten och sedan skickar den till C2-servern för granskning av angripare.
Särskilt intressant är möjligheten som denna skadliga programvara har att söka efter bärbara enheter kopplade till Windows-datorn, såsom smartphones eller surfplattor. Om en bärbar enhet upptäcks kommer den att skanna innehållet på enheten för dokument och röstinspelningsfiler och om de hittas, kopiera dem till datorn för att läcka till angriparens server.
Före extraktion, den stulna datan komprimeras till en lösenordsskyddad RAR-fil och den lokala kopian raderas från minnet för att ta bort eventuella spår.