Китай использует новый троян Yahoyah

Китай использует новый троян Yahoyah

Троян использует SMS Bomber для сбора данных устройства

image

Исследователи кибербезопасности компании Check Point обнаружили новую кампанию , приписываемую китайской хакерской группе Tropic Trooper , которая использует новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah.

Троянец входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует значок SMS Bomber и использует бомбер в качестве встроенного исполняемого файла.

В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe.

Эта полезная нагрузка представляет собой новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2 сервер. Окончательная полезная нагрузка кодируется в JPG изображение с использованием стеганографии . Собранная трояном информация включает следующее:

  • SSID ближайшей к устройству жертвы локальной беспроводной сети;
  • Имя компьютера;
  • MAC-адрес;
  • версия ОС;
  • информацию об установленном антивирусном ПО;
  • данные о наличии файлов WeChat и Tencent .


Более того, шифрование Yahoyah представляет собой специальную реализацию AES, которая дважды выполняет последовательность инвертированных циклов, чтобы усложнить специалистам анализ атаки.



Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!