शोधकर्ताओं ने पाया कि मैलवेयर को फॉलआउट ईके, डैनबोट ट्रोजन और आरआईजी ईके के उपयोग से अलग-अलग अभियानों के माध्यम से वितरित किया गया था।
मैलवेयर को "मोजे 5 बैककनेक्ट सिस्टम" के रूप में एक भूमिगत बाज़ार में भी बेचा गया था।
एक नया मैलवेयर जो विंडोज सिस्टम को सुरक्षा प्रदान करता है, उसे सुरक्षा शोधकर्ताओं द्वारा प्रलेखित किया गया है। प्रूफपॉइंट के शोधकर्ताओं द्वारा bed सिस्टमबीसी ’के रूप में डब किया गया था, इस साल मई में मैलवेयर को देखा गया था और इसे फॉलआउट एक्सप्लॉइट किट, डैनबोट ट्रोजन और आरआईजी एक्सप्लॉइट किट से जुड़े हमले अभियानों के माध्यम से वितरित किया गया था। इसके अलावा, मालवेयर को ब्रुशलोडर और संबंधित मालवेयर के साथ भी कनेक्शन माना जाता है।
बड़ी तस्वीर
प्रूफपॉइंट शोधकर्ताओं के अनुसार, सिस्टमबीसी HT2PS कनेक्शन के माध्यम से अपने C2 सर्वर के नेटवर्क ट्रैफ़िक को मास्क करने के लिए SOCKS5 प्रॉक्सी का उपयोग करता है। यह मुख्य रूप से C ++ में लिखा गया है।
मालवेयर को कथित तौर पर "मोजे 5 बैककनेक्ट सिस्टम" नाम से एक भूमिगत मार्केटप्लेस में बेचा जाता है।
यह अपने C2 सर्वर संचार में मानक RC4 एन्क्रिप्शन का उपयोग करता है। शोधकर्ताओं ने एक संचार पैकेट का विश्लेषण किया और जानकारी के चार टुकड़े पाए। इसमें एक प्लेनटेक्स्ट RC4 कुंजी, विंडोज बिल्ड आईडी, डिवाइस में एक खाता नाम और यह जांचने के लिए बुलियन शामिल है कि क्या मशीन एक x64- आधारित प्रोसेसर है।
सिस्टमबीसी का पहली बार मई में पता चला था। बाद में मैलवेयर पहुंचाने वाले अभियानों की पहचान जून और जुलाई 2019 में की गई।
यह क्यों मायने रखता है?
मैलवेयर के विभिन्न गुणों का विवरण देने वाले एक ब्लॉग में, प्रूफपॉइंट शोधकर्ताओं का सुझाव है कि सिस्टमबीसी जैसे प्रॉक्सी मैलवेयर शमन के लिए एक चुनौती हैं।
शोधकर्ताओं ने लिखा है, "दुर्भावनापूर्ण प्रॉक्सी और मुख्यधारा के मैलवेयर के रूप में SystemBC के बीच तालमेल बैंकिंग बढ़त के लिए खतरों को रोकने और बचाव के लिए नई चुनौतियां पैदा करता है।"
0 Comments