SnatchLoader

SnatchLoader-Beschreibung

SnatchLoader ist als Downloader-Malware bekannt. Es ist für die Bereitstellung zusätzlicher Malware-Bedrohungen auf einem Computer verantwortlich, der bereits kompromittiert wurde. Die Entwicklung von SnatchLoader war zeitweise von geringer Aktivität geprägt, die Bedrohung wurde jedoch im Rahmen aktiver Angriffskampagnen wie der Auslieferung des Bankentrojaners Ramnit beobachtet. Obwohl nicht einzigartig, ist ein merkwürdiges Merkmal dieser Downloader-Malware, dass sie mit "Geoblocking" ausgestattet ist. In der Praxis führt dies dazu, dass die Malware in einigen Ländern ausgeführt wird, während sie sich in anderen Ländern einfach selbst beendet. Die Forscher, die eine Stichprobe von SnatchLoader analysierten, stellten fest, dass Großbritannien und Italien zu den realisierbaren Zielen gehörten, während Benutzer in Frankreich, den USA und Hongkong in Sicherheit waren.

Um Windows-API-Aufrufe auszuführen, verwendet SnatchLoader zur Laufzeit einen Funktionsnamen-Hashing. Für die Kommunikation mit der Command-and-Control-Infrastruktur (C2, C & C) wird HTTPS verwendet. Vier verschiedene Anfragetypen wurden von Infosec-Forschern isoliert.

Zunächst stellt SnatchLoader eine Anforderung zum Abrufen einer dynamischen Konfiguration, gefolgt von einer Anforderung zum Senden von Systeminformationen. In diesem Schritt sendet die Malware verschiedene Systemdaten an den Server des Hackers. Zu den exfiltrierten Daten gehören Details wie Windows-Versionen, Architektur, Benutzername, Computername, Benutzeragent, Liste der Prozesse usw.
Um nach Befehlen von Hackern zu suchen, stellt SnatchLoader eine 'Command Poll'-Anfrage. Aufgrund seiner Eigenschaft als Loader dienen die Befehle hauptsächlich zum Herunterladen und Ausführen zusätzlicher Malware-Module - normal ausgeführt, in explorer.exe eingefügt oder über rundll32 ausgeführt. Die Forscher beobachteten auch eine Plugin-Funktionalität von SnatchLoader für eine Monero-Crypto-Mining-Bedrohung. Die letzte Anforderung an den C2 wird verwendet, um die Ergebnisse der Ausführung eines bestimmten Befehls zu senden.

Hinterlasse eine Antwort

Bitte verwenden Sie NICHT dieses Kommentarsystem für Support oder Zahlungsfragen. Für technische Supportanfragen zu SpyHunter wenden Sie sich bitte direkt an unser technisches Support-Team, indem Sie über SpyHunter ein Kunden-Support-Ticket öffnen. Für Rechnungsprobleme, leiten Sie bitte zu unserer "Rechnungsfragen oder Probleme?" Seite weiter. Für allgemeine Anfragen (Beschwerden, rechtliche Fragen, Presse, Marketing, Copyright) besuchen Sie unsere Seite "Anfragen und Feedback".