Gelsevirine

Gelsevirinie wird von einem Mid-Stage-Loader namens Gelsemicine an die kompromittierten Maschinen geliefert. Gelsevirinie ist das letzte Malware-Modul, das bei Angriffen der Gruppe Gelsemium APT (Advanced Persistent Threat) eingesetzt wird. Der Loader existiert in zwei verschiedenen Versionen und die ausgeführte Version hängt davon ab, ob der infizierte Benutzer über Administratorrechte verfügt oder nicht. Wenn das Opfer die erforderlichen Berechtigungen hat, wird Gelsevirine unter C:\Windows\System32\spool\prtprocs\x64\winprint.dll abgelegt, andernfalls wird es als DLL namens chrome_elf.dll in CommonAppData/Google/Chrome/Anwendung/Bibliothek/Standort ausgeliefert.

Nach der Bereitstellung auf dem Zielsystem initiiert Gelsevirine ein komplexes Setup, um die Kommunikation mit seinem Command-and-Control-Server zu erreichen und aufrechtzuerhalten. Erstens verlässt es sich auf eine eingebettete DLL, um die Rolle des Man-in-the-Middle zu übernehmen. Darüber hinaus ist eine separate Konfiguration für den Umgang mit den verschiedenen Protokolltypen wie tcp, udp, http und https zuständig.

Die Forscher von Infosec konnten mehrere Plug-Ins erkennen, die von Gelsevirine abgerufen und initiiert werden und jeweils eine andere Funktionalität aufweisen. Das FxCoder-Plug-In ist ein Komprimierungs-Dekomprimierungs-Tool, das die C&C-Kommunikation erleichtert. Als nächstes gibt es das Utility-Plug-in, das das Dateisystem auf dem kompromittierten Gerät manipulieren kann. Das letzte der beobachteten Plug-Ins ist Inter - ein Tool, das das Einschleusen von DLLs in ausgewählte Prozesse ermöglicht.