Die neueste Malware könnte bald das Linux- und Mac-Betriebssystem angreifen
Laut dem kürzlich entdeckten Windows-Info-Diebstahl-Malware, der mit einer aktiven Gruppe verknüpft ist, die als AridViper verfolgt wird, wurde erklärt, dass sie möglicherweise zur Infektion des Linux- und Mac-Betriebssystems verwendet wird.
Der ursprüngliche Trojaner namens PyMICROPSIA von Unit 42 wurde bei der Untersuchung der AridViper-Aktivität freigelegt, die auch als Desert Falcon und APT-C-23 verfolgt wurde. Eine Organisation arabischsprachiger Cyberspies, die ihre Angriffe seit mindestens 2011 auf Ziele im Nahen Osten konzentriert.
AridViper operiert hauptsächlich von Palästina, Ägypten und der Türkei aus, und die meisten Opfer, die sie kompromittierten, überstiegen 2015 3000 [PDF]; nach Angaben des Global Research and Analysis Team.
Neue Angriffsvektoren innerhalb des Codes initiieren:
- PyMICROPSIA ist eine Python-basierte Malware, die speziell auf Windows-basierte Betriebssysteme abzielt. Cyberkriminelle verwenden binär generierten pyInstaller. Unit 42 hat auch Code-Schnipsel entdeckt, an denen der Erfinder möglicherweise arbeitet, um Unterstützung für mehrere Plattformen hinzuzufügen.
- Es ist hauptsächlich für das Windows-Betriebssystem konzipiert, aber der Code enthält interessante Schnipsel, die nach anderen Betriebssystemen wie “posix” oder “drawin” als Einheit 42 suchen.
- Es wurde möglicherweise von den Entwicklern der Malware beim Kopieren von Code aus anderen Projekten eingeführt und kann in zukünftigen Versionen des PyMICROPSIA-Torjan sehr gut entfernt werden.
Datendiebstahl und Lieferung zusätzlicher Nutzlasten:
- Unit 42 hat eine lange Liste von Funktionen entdeckt, während Malware auf einem gefährdeten System und Nutzdaten analysiert oder vom Befehls- und Kontrollserver (C2) des Angreifers heruntergeladen wurde, während es um den PyMICROPSIA-Trojaner geht.
- Die Liste der Funktionen zum Stehlen und Steuern von Informationen umfasst Datendiebstahl, Gerätesteuerung und zusätzliche Funktionen zur Verteilung der Nutzlast.
- PyMICROPSIA nutzt Python-Bibliotheken für eine Vielzahl von Zwecken, von Informationen und Datendiebstahl bis hin zu Windows-Prozessen, Dateisystemen und Registrierungsinteraktionen.
- Die Keylogging-Funktion des Trojaners wird mithilfe der GetAsynckey-Status-API implementiert, die Teil einer einzelnen Payload ist, die vom C2-Server heruntergeladen wird.
- Eine heruntergeladene Nutzlast wird auch verwendet, um die Persistenz zu verbessern, indem eine .LNK-Verknüpfung im gefährdeten System Windows-Startordner reduziert wird.