Китай использует новый троян Yahoyah

Чт 23 Июнь 2022 10:04

Исследователи кибербезопасности компании Check Point обнаружили новую кампанию , приписываемую китайской хакерской группе Tropic Trooper , которая использует новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah.

Троянец входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует значок SMS Bomber и использует бомбер в качестве встроенного исполняемого файла.

В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe.

Эта полезная нагрузка представляет собой новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2 сервер. Окончательная полезная нагрузка кодируется в JPG изображение с использованием стеганографии . Собранная трояном информация включает следующее:

Более того, шифрование Yahoyah представляет собой специальную реализацию AES, которая дважды выполняет последовательность инвертированных циклов, чтобы усложнить специалистам анализ атаки.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 94 дня 11 часов 16 минут 23 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.