Limitless Keylogger Ottimizzato con AutoIt
Limitless Keylogger Ottimizzato con AutoIt avvia ad una nuova ondata di malware superpotente per rubare password. E’ stata scoperta e va ad infettare centinaia di migliaia di computer in tutto il mondo e presumibilmente ruba credenziali sociali e bancari degli utenti .
Pochi giorni fa, un elenco di 5 milioni di combinazioni di indirizzi Gmail e password sono stati trapelato online. Il gigante dei motori di ricerca, Google ha detto che le credenziali di Gmail non è venuto dalle violazioni della sicurezza del suo sistema, piuttosto le credenziali erano state rubate da campagne ed accessi non autorizzati agli account utente di phishing.
Proprio ora, ci imbattiamo in un altro incidente simile in cui i criminali informatici utilizzano una di malware che ha già compromesso migliaia di utenti Windows in tutto il mondo nel tentativo di rubare i loro conti Social Media, account online e di conto bancario Credenziali.
Un ricercatore di sicurezza ha recentemente scoperto un greco di malware esempio tramite una campagna di spam (catturati in un honeypot aziendale), il targeting gran numero di utenti di computer rapidamente. Ha studiato e pubblicato una dettagliata analisi tecniche del malware sul suo blog .
Dopo il reverse engineering del file di esempio di malware, ha trovato che i criminali informatici utilizzano una combinazione di software AutoIT (Automatizzare giorno per giorno le attività su computer) e un “commerciale” Keylogger denominato “Limitless Keylogger” per rendere FUD cioè completamente inosservabile da analisi statica.
Keylogger è un tipo critico di software per i cyber criminali, che registra ogni input digitato nella tastiera e facilmente rileva le password per gli account degli utenti e-mail, account di social media e dei conti bancari online.
Questa applicazione maligna cattura ogni battute di tastiera l’utente preme e li inviano a un indirizzo di posta elettronica specificato legata al criminale informatico. Più interessante, il malware utilizza AutoIT al fine di eludere il rilevamento da programmi antivirus.
Limitless Keylogger Optimized with AutoIT Infected thousands of Computers
Il malware distribuito nella campagna di spam si presenta come un file eseguibile WinRAR SFX con un’icona personalizzata che scende 4 file dannosi sul computer della vittima con gli attributi nascosti e di sistema.
L’archivio Malware comprende:
AutoIT script ‘update.exe’ di 331MB
Script Python per “deobfuscate” AutoIT copione
oziryzkvvcpm.AWX – Impostazioni per lo script AutoIT
sgym.VQA – Un altro criptata di malware / Payload binario
Inizialmente lo script AutoIT offuscato è di dimensioni 331MB, perché contiene un sacco di contenuti spazzatura, ma dopo il processo di deobfuscate diventa solo 55kbyte dimensioni con codice dannoso pulito.
Il Ricercatore ha trovato un sacco di funzioni e diverse funzionalità nel codice del malware, coloro che permettono al software dannoso di nascondersi dal rilevamento.
Su ulteriori ingegneria riserva, ha scoperto che il malware invia i dati raccolti tasti per il criminale informatico tramite server di posta SMTP. Così egli fiutò l’intera conversazione di traffico SMTP malware e ha scoperto che il keylogger mandava tutte le battiture dell’utente, screenshots, i dati di recupero (password salvate da diverse applicazioni / browsers) a un ID e-mail – “ontherun4sales@yandex.ru”.
Egli ha anche estratto l’e-mail SMTP ID utente e password del rispettivo mail Yandex hardcoded dal codice sorgente del malware.
Limitless Keylogger Optimized with AutoIT Infected thousands of Computers
Ricercatore ha detto SecNews , “La rilevazione è stata compiuta nei giorni scorsi e ha scoperto che il malware è stato essendo greco si rivolge agli utenti (casi numerici minimo).”
“Forse alcuni hacker indonesiani potrebbero aver utilizzato il software dannoso disponibili sui siti del forum di hacking russi “, hanno detto. “E gli obiettivi sono ben note aziende di commercio al dettaglio, l’olio, le compagnie aeree, ecc”
Infine, il ricercatore ha anche rivelato alcuni server FTP online utilizzando hack di Google, in cui i dati sono stati caricati dalle diverse varianti del Limitless Logger di vari gruppi di hacking.