Analiza unui nou mecanism de persistență in the wild
Experții G Data SecurityLabs au descoperit un nou instrument de administrare de la distanță, pe care l-au numit COMpfun. Acesta suportă versiuni pe 32-biți și 64-biți ale sistemelor de operare până la Windows 8. Caracteristicile sunt destul de comune instrumentelor actuale de spionaj: gestionarea fișierelor (download și upload), screenshot-uri, funcționalități Keylogger, posibilitatea executării codurilor și multe altele. Folosește HTTPS și o criptare asimetrică (RSA) pentru a comunica cu serverul de comandă și control. Marea noutate este mecanismul de persistență: malware-ul deturnează un obiect COM (Component Object Model) legitim pentru a fi injectat în procesele unui sistem compromis. Iar ceea ce este remarcabil, această acțiune de deturnare nu are nevoie de drepturi de administrator. Cu acest instrument de administrare de la distanță, atacatorii ar putea spiona un sistem infectat pentru un timp îndelungat, datorită detectării dificile a fraudei și mecanismului de persistență foarte avansat!
Mai multe informații sunt disponibile pe blogul G Data Software:
https://blog.gdatasoftware.com/blog/article/new-frameworkpos-variant-exfiltrates-data-via-dns-requests.html.
