Deturnarea obiectelor COM: calea discretă a persistenței

Experții G Data SecurityLabs au descoperit un nou instrument de
administrare de la distanță, pe care l-au numit COMpfun. Acesta
suportă versiuni pe 32-biți și 64-biți ale sistemelor de operare
până la Windows 8.


Caracteristicile sunt destul de comune
instrumentelor actuale de spionaj: gestionarea fișierelor (download
și upload), screenshot-uri, funcționalități Keylogger,
posibilitatea executării codurilor și multe altele. Folosește
HTTPS și o criptare asimetrică (RSA) pentru a comunica cu serverul
de comandă și control. Marea noutate este mecanismul de
persistență: malware-ul deturnează un obiect COM (Component Object
Model) legitim pentru a fi injectat în procesele unui sistem
compromis. Iar ceea ce este remarcabil, această acțiune de
deturnare nu are nevoie de drepturi de administrator. 

Cu acest
instrument de administrare de la distanță, atacatorii ar putea
spiona un sistem infectat pentru un timp îndelungat, datorită
detectării dificile a fraudei și mecanismului de persistență
foarte avansat!

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.