SnatchLoader

Von GoldSparrow in Malware

Übersetzen Sie in:

SnatchLoader ist als Downloader-Malware bekannt. Es ist für die Bereitstellung zusätzlicher Malware-Bedrohungen auf einem Computer verantwortlich, der bereits kompromittiert wurde. Die Entwicklung von SnatchLoader war zeitweise von geringer Aktivität geprägt, die Bedrohung wurde jedoch im Rahmen aktiver Angriffskampagnen wie der Auslieferung des Bankentrojaners Ramnit beobachtet. Obwohl nicht einzigartig, ist ein merkwürdiges Merkmal dieser Downloader-Malware, dass sie mit "Geoblocking" ausgestattet ist. In der Praxis führt dies dazu, dass die Malware in einigen Ländern ausgeführt wird, während sie sich in anderen Ländern einfach selbst beendet. Die Forscher, die eine Stichprobe von SnatchLoader analysierten, stellten fest, dass Großbritannien und Italien zu den realisierbaren Zielen gehörten, während Benutzer in Frankreich, den USA und Hongkong in Sicherheit waren.

Um Windows-API-Aufrufe auszuführen, verwendet SnatchLoader zur Laufzeit einen Funktionsnamen-Hashing. Für die Kommunikation mit der Command-and-Control-Infrastruktur (C2, C & C) wird HTTPS verwendet. Vier verschiedene Anfragetypen wurden von Infosec-Forschern isoliert.

Zunächst stellt SnatchLoader eine Anforderung zum Abrufen einer dynamischen Konfiguration, gefolgt von einer Anforderung zum Senden von Systeminformationen. In diesem Schritt sendet die Malware verschiedene Systemdaten an den Server des Hackers. Zu den exfiltrierten Daten gehören Details wie Windows-Versionen, Architektur, Benutzername, Computername, Benutzeragent, Liste der Prozesse usw.
Um nach Befehlen von Hackern zu suchen, stellt SnatchLoader eine 'Command Poll'-Anfrage. Aufgrund seiner Eigenschaft als Loader dienen die Befehle hauptsächlich zum Herunterladen und Ausführen zusätzlicher Malware-Module - normal ausgeführt, in explorer.exe eingefügt oder über rundll32 ausgeführt. Die Forscher beobachteten auch eine Plugin-Funktionalität von SnatchLoader für eine Monero-Crypto-Mining-Bedrohung. Die letzte Anforderung an den C2 wird verwendet, um die Ergebnisse der Ausführung eines bestimmten Befehls zu senden.

Suche

Region ändern

SnatchLoader

Kommentar abgeben

Im Trend

„YouPorn“-E-Mail-Betrug

Safe Search Eng

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...