Sihost

Die Proteste in Hongkong dauern schon eine ganze Weile an, und die chinesische Regierung scheint die Geduld zu verlieren und auf einige innovative Techniken zurückzugreifen. Kürzlich wurde aufgedeckt, dass Peking einen Drohschauspieler eingestellt hatte, um die Demonstranten in Hongkong anzugreifen. Die anvisierten Demonstranten würden eine E-Mail erhalten, die als Nachricht eines Jurastudenten aus dem Westen maskiert ist. In der Nachricht geben die Angreifer vor, an den Protesten interessiert zu sein und fordern den Empfänger auf, "Empfehlungen zur Beendigung der Proteste in Hongkong" abzugeben. Die Angreifer würden drei Dateien an die betrügerische E-Mail anhängen - zwei echte und eine, die als "" angezeigt wird. RTF 'Dokument ist aber ein'. LNK-Datei. Das Maskieren dieser beschädigten Datei als harmloses Dokument erfolgt mit einer doppelten Erweiterung, einem ziemlich alten, aber wirksamen Trick.

Verwendet eine als Bild maskierte PNG-Datei

Das '. LNK 'Dateien dienen als Link, und im Fall dieser Peking-Kampagne, die'. LNK-Datei führt zu einer "msiexec.exe" -Datei, die echt ist. Das '. Die an die gefälschte E-Mail angehängte LNK-Datei muss die Datei 'msiexec.exe' ausführen und eine Datei von GitHub herunterladen. Die fragliche Datei scheint ein 'zu sein. PNG 'Image, aber es arbeitet als ausführbare Datei. Diese ausführbare Datei wird verwendet, um Hunderte von gefälschten Dateien zu erstellen. Darunter befindet sich die anfängliche Nutzlast, die sich in 'siHost64' befindet.

Fähigkeiten

Der Ordner% APPDATA% enthält ein Python-Skript namens "siHost64". Dieses Skript soll:

• Erhalten Sie Ausdauer, indem Sie die Windows-Registrierung manipulieren.
• Stellen Sie eine Verbindung zum C & C-Server (Command & Control) der Angreifer her, der mithilfe der DropBox-API arbeitet.
• Verwendet den C & C-Server zum Abrufen von Dateien mit verschlüsselten Befehlen. Beim Entschlüsseln der Befehle führt die Bedrohung diese aus. Die Ergebnisse dieser Aktionen werden in einer neuen verschlüsselten Datei gespeichert. Die Bedrohung wird die Datei regelmäßig auf den C & C-Server übertragen.

Die Sihost-Bedrohung ist im Wesentlichen ein Werkzeug zum Ausspähen. Dieser Backdoortrojaner ermöglicht seinen Betreibern, Informationen vom infizierten Host zu sammeln und auf den Server des Angreifers zu übertragen.

Es ist klar, dass die Sihost-Malware nicht für zufällige Benutzer gedacht ist. Diese Bedrohung weist eine sehr niedrige Infektionsrate auf, und die Opfer scheinen in der chinesischen Region zu sein, was Experten zu der Annahme veranlasste, dass der Sihost-Trojaner ausschließlich für Demonstranten in Honk Kong entwickelt wurde. Die Bedrohung ist sehr gut entwickelt, und es ist klar, dass erfahrene Cyberkriminelle den Backdoor-Trojaner Sihost entwickelt haben.