KIVARS

KIVARS ist eine Backdoor-Bedrohung, die nur 32-Bit-Systeme betrifft. Die dahinter stehenden Cyberkriminellen entwickelten jedoch eine zweite Version für 64-Bit-Ziele. KIVARS wird in der zweiten Phase der Angriffskette an die gefährdeten Computer geliefert. Die anfängliche Malware-Infektion wird durch eine Bedrohung namens " TROJ_FAKEWORD.A " ausgeführt, die als Dropper fungiert. Nach der Ausführung werden zwei ausführbare Dateien mit den Namen ' TROJ_KIVARSLDR ' und ' BKDR_KIVARS ' sowie ein Täuschungs- MS Word-Dokument heruntergeladen, das dem Benutzer als Umleitung dient. Die Dateien werden abgelegt unter:

• % windows system% \ iprips.dll - TROJ_KIVARSLDR
• % windows system% \ winbs2.dll - BKDR_KIVARS
• C: \ Dokumente und Einstellungen \ Administrator \ Lokale Einstellungen \ Temp \ NO9907HFEXE.doc - Täuschungsdokument

Die Rolle von ' TROJ_KIVARSLDR ' besteht darin, die tatsächliche Backdoor-Nutzlast aus ' BKDR_KIVARS ' zu laden und im Speicher auszuführen. Der KIVARS ist mit allen schädlichen Funktionen ausgestattet, die von einer Backdoor-Bedrohung erwartet werden, sodass die Angreifer nahezu die volle Kontrolle über das gefährdete System haben. Sie können das Dateisystem manipulieren, Dateien herunterladen und hochladen, beliebige Screenshots machen, Maus und Tastatur durch Auslösen von Klicks und Eingaben steuern, die aktiven Fenster manipulieren usw. Die Hintertür ist außerdem mit einem Keylogger-Modul ausgestattet, das die erfassten Eingaben in einer Datei mit dem Namen ' klog.dat ' ablegt.

Während der ersten Kommunikation mit den von den Hackern eingerichteten Command-and-Control-Servern (C2, C & C) enthält KIVARS verschiedene Systeminformationen. Die Bedrohung sendet die IP-Adresse, die Betriebssystemversion, den Benutzernamen, den Hostnamen, das Tastaturlayout und den aktuellen Dokument- / Desktopordner des Opfers in verschlüsselter Form an die Angreifer. Die Bedrohung enthält auch eine eigene Version in den gesendeten Daten.

Die aktualisierten KIVARS-Versionen, die Angriffe auf 64-Bit-Ziele enthalten, weisen abgesehen von zwei wichtigen Änderungen nur geringe Abweichungen in Bezug auf die Funktionalität auf. Zunächst werden den Dateien für den Loader und die gelieferte Backdoor-Bedrohung zufällige Namen zugewiesen. Das zweite Update wirkt sich auf die Art und Weise aus, wie die Backdoor-Nutzdaten verschlüsselt wurden. Im Gegensatz zu den früheren Versionen der Bedrohung, bei denen nur das magische Byte 'MZ' verschlüsselt wurde, verwenden die späteren Varianten einen modifizierten RC4-Algorithmus für die Verschlüsselung.

Es sollte beachtet werden, dass die Bedrohungsakteure hinter KIVARS auch die Remote Access Trojan (RAT) POISON eingesetzt haben.