Deturnarea obiectelor COM: calea discreta a persistentei

Analiza unui nou mecanism de persistenta in the wild

    Expertii G Data SecurityLabs au descoperit un nou instrument de administrare de la distanta, pe care l-au numit COMpfun. Acesta suporta versiuni pe 32-biti si 64-biti ale sistemelor de operare pana la Windows 8. Caracteristicile sunt destul de comune instrumentelor actuale de spionaj: gestionarea fisierelor (download si upload), screenshot-uri, functionalitati Keylogger, posibilitatea executarii codurilor si multe altele. Foloseste HTTPS si o criptare asimetrica (RSA) pentru a comunica cu serverul de comanda si control.

    Marea noutate este mecanismul de persistenta: malware-ul deturneaza un obiect COM legitim pentru a fi injectat in procesele unui sistem compromis. Iar ceea ce este remarcabil, aceasta actiune de deturnare nu are nevoie de drepturi de administrator. Cu acest instrument de administrare de la distanta, atacatorii ar putea spiona un sistem infectat pentru un timp indelungat, datorita detectarii dificile a fraudei si mecanismului de persistenta foarte avansat!

    Mai multe informatii sunt disponibile pe blogul G Data Software: https://blog.gdatasoftware.com/blog/article/new-frameworkpos-variant-exfiltrates-data-via-dns-requests.html

United Kingdom Bookmaker CBETTING claim Coral Bonus from link.