DiamondFox: zaawansowana usługa „malware na żądanie” do kupienia w sieci Tor

17 maja, 2017

Analitycy Check Point oraz TerbiumLabs (firmy działającej w sektorze Dark Web Data Intelligence) odkryli nowe zagrożenie pojawiające się o ostatnim czasie w cyberprzestrzeni – usługę malware (malware-as-a-service) zwaną DiamondFox. Oferta hakerów skierowana jest zarówno do firm, jak i użytkowników indywidualnych i pozwala na przygotowanie ataku hakerskiego na dowolny obiekt czy sieć. 

DiamondFox to rodzaj bonetu oferowanego na forach internetowych, gdzie użytkownik otrzymuje dostęp do palety kodów dostępu, pozwalających na zaplanowanie np. działań szpiegowskich, kradzieży danych, ataku na instytucje finansowe drogą kradzieży kodów bankowych lub skutecznego ataku typu DDoS.

Istotnym problemem zjawiska cyberprzestępczych usług jest powszechna dostępność takich narzędzi i brak wymaganej wiedzy technicznej przez potencjalnych użytkowników usługi. 

Śledztwo Check Point i TerbiumLabs dowiodło, że procedura sprzedaży wykorzystania nowej usługi jest coraz bardziej powszechna w świecie cyberprzestrzeni. DiamondFox to bardzo łatwy w obsłudze malware, który pozwala na kierunkowy atak na wybraną instytucję w dowolnym czasie. 

diamondfox2
Oferta cyberprzestępców handlujących usługami na ”czarnym rynku” zawiera opcję stałego monitorowania atakowanych jednostek wraz ze skalą skuteczności ataku i danymi statystycznymi!

Największym zagrożeniem usługi – zdaniem analityków Check Point – jest szereg dostępnych pluginów, umożliwiających dostosowanie ataku do ofiary oraz możliwość samorozprzestrzeniania się złośliwego oprogramowania za pośrednictwem urządzeń mobilnych oraz social mediów. 

Jednym z pluginów jest moduł odpowiedzialny za gromadzenie informacji na temat zainfekowanego komputera.

Analitycy Check Point i TerbiumLabs uważają, że dystrybucją usługi w sieci jest Edbitss ([email protected]) – dostawca, który regularnie aktualizuje dane oferowane klientom w ramach produktu DiamondFox. Według odstępnych informacji Edbitss może znajdować się w Rosji. Z pewnością biegle posługuje się językiem rosyjskim, choć dane rejestracyjne świadczą o prowadzeniu działalności również na terenie Meksyku.

diamondfox4
W sieci Tor moża poznać przyjaciela na całe życie.
Autorzy raportu uważają, że użytkownicy systemów firmowych oraz prywatnych mogą zabezpieczyć się przed atakami DiamondFox Malware stosując następujące oprogramowanie: Antivirus Software Blade oraz Anti-Bot Software Blade – wykrywające i blokujące komunikację z wirusem DiamondFox.

Przeanalizowana wersja DiamondFox zawiera 15 wtyczek do kradzieży:

  • poświadczeń z programu FileZilla
  • loginów i haseł z kont pocztowych
  • haseł z przeglądarek
  • haseł zdalnych sesji RDP
  • haseł z zainstalowanych komunikatorów
  • haseł z oprogramowania VNC

Co więcej, DiamondFox wyposażony jest w moduł, który daje atakującemu sposobność:

  • robienia zrzutów ekranu
  • wysyłania spamu z zainfekowanego komputera
  • zmiany strony głównej przeglądarki
  • przeprowadzania ataków DDoS
  • nasłuchiwania klawiatury
  • kradzieży poświadczeń z pamięci RAM (odsyłamy czytelników do naszego testu antywirusowych modułów do ochrony bankowości internetowej, w której wykorzystaliśmy ten rodzaj ataku)
  • zbierania informacji o procesach i usługach
  • ustanawiania sesji zdalnego pulpitu za pomocą oprogramowania Ammyy Admin
  • kradzieży adresów portfeli BTC ze schowka systemowego
  • modyfikowania pliku HOSTS (ponownie odsyłamy do naszego testu, w którym opisywaliśmy konsekwencje modyfikacji HOSTS przez złośliwe oprogramowanie)
  • rozprowadzania pluginu odpowiedzialnego za szpiegowanie komputera na nośniki USB

Jeśli malware zostało uruchomione z uprawnieniami administratora, to na pewno zmodyfikowało klucze w rejestrze, które odpowiadają za ustawienia kontroli konta użytkownika (ang. UAC,User Account Control):

HKLMSoftwareMicrosoftSecurity CenterUACDisableNotify = REG_DWORD:0

HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemEnableLUA = REG_DWORD:0
UAC
Ustawienia UAC znajdują się w panelu sterowania: Panel sterowaniaWszystkie elementy Panelu sterowaniaZabezpieczenia i konserwacja

Warto też sprawdzić lokalizację C:Usersnazwa_uzytkownikaAppDataLocalTemp pod kątem tymczasowych plików EXE i skorzystać z najlepszego skanera antywirusowego na żądanie.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]