Kaspersky e Microsoft estão explorando para instalar o Spying Trojan

trojan Bookworm trojan “Espiões” nas vítimas infectadas

Novo Trojan foi identificado por Palo Alto Redes, que usa o software de segurança instalado no computador do usuário para executar ladocarga DLLs necessário para se auto-instalar.

Esta notícia Trojan foi chamado Bookworm por especialistas em Palo Alto, e apresentou algumas correlações com o PlugX RAT.

Atualmente, Palo Alto afirma que o Trojan foi identificado nas campanhas do grupo APT que operam apenas na Tailândia.

Quanto à sua estrutura interna, o Bookworm Eles parecem fazer parte de uma nova tendência de malware modular moderna e cada vez mais popular, malware que se instala lentamente no computador em várias etapas para evitar a detecção, enquanto também usa um servidor C&C remoto para controlar qual é o perfil do alvo infectado.

A arquitetura interior de um Bookworm é simples. Várias DLLs maliciosas são criptografadas usando um algoritmo XOR e estão juntos em um arquivo Leia-me.TXT .

Esse arquivo é mesclado com puramente executável e alguma DLL em um arquivo RAR de extração automática, que por sua vez é integrado ao Smart Installer Maker, um aplicativo que cria pacotes de instalação.

O programa de instalação gera o que os hackers distribuem e, quando executado, aciona o hardware de extração automática que descarrega o readme.txt malicioso, limpa a DLL e limpa o EXE.

Após a conclusão do programa de instalação, um EXE limpo que acabou de ser criado também é iniciado automaticamente. O executável começa a procurar executáveis Microsoft Malware Proteção (MsMpEng.exe) e seus Kaspersky AntiVírus (ushata.exe).

Quando alguém detecta, ele carrega o lado limpo da DLL nesses executáveis ​​e usa as permissões desses aplicativos para se instalar como seu serviço. Microsoft.

Deste ponto em diante Bookworm possui todas as permissões necessárias para exportar outros módulos do arquivo readme.txt, começar a se comunicar com o servidor C&C, carregar outros módulos e enviar dados roubados ao servidor C&C.

Os pesquisadores de Palo Alto não dizem que outros módulos podem ser carregados. O que dificultou a pesquisa dos pesquisadores de Palo Alto foi que o Bookworm usa pelo menos quatro algoritmos diferentes para criptografia ao se comunicar com o servidor C&C (RC4, AES, XOR, LZO).