BlackEnergy Trojan vernietigt computers
Een nieuwe variant van de BlackEnergy Trojan is in staat om geïnfecteerde computers te vernietigen, zo hebben onderzoekers ontdekt. De eerste versie van BlackEnergy werd ingezet voor het uitvoeren van DDoS-aanvallen op Georgië in 2008. Naast alle versies die via een doe-het-zelf toolkit zijn te maken, is versie 1.9.2 de laatste officiële variant.
Onderzoekers van SecureWorks ontdekten dat BlackEnergy 2 al meer dan een jaar in ontwikkeling is. In tegenstelling tot z'n voorganger, gebruikt deze versie moderne rootkit/proces-injectie technieken, sterke encryptie en modulaire architectuur. In het geval de gebruiker geen administrator rechten heeft, gebruikt de malware een exploit voor een kwetsbaarheid uit 2008, waarmee het de rechten kan verhogen. Zodoende is het toch mogelijk om de rootkit te installeren.
Kill commando
BlackEnergy ondersteunt nu ook plugins, waardoor allerlei code aan de Trojan is toe te voegen. Vooralsnog gaat het om plugins voor het versturen van spam en het stelen van inloggegevens voor internetbankieren. De "banking Trojan plugin" lijkt veel op de Zeus Trojan en is ontworpen om het bestandssysteem van besmette computers te vernietigen. Daarvoor kan de beheerder een speciaal "kill" commando geven. De Trojan overschrijft dan de eerste 4.096 clusters met willekeurige data en probeert vervolgens de "ntldr" en "boot.ini" bestanden te verwijderen.
"Deze functionaliteit wordt waarschijnlijk gebruikt nadat de inloggegevens voor internetbankieren zijn gestolen, om zo te voorkomen dat het slachtoffer ziet dat er geld van zijn rekening is gehaald en hij de bank inlicht." Voor zover bekend heeft de Trojan het alleen op Russische en Oekraïense banken voorzien. En dat is opmerkelijk, want voorheen beschouwden Russische hackers hun landgenoten niet als doelwit.
Plugins
Volgens onderzoeker Joe Stewart is BlackEnergy 2 is een behoorlijke stap voorwaarts ten opzichte van zijn voorganger. "Met de bestaande plugins levert het de drie hoekstenen van moderne cybercrime." Het Trojaanse paard is nog niet als doe-het-zelf toolkit verkrijgbaar, maar mocht dat veranderen, dan zal die waarschijnlijk populairder dan de eerste versie worden. "Hoe het ook zij, er is veel meer ruimte voor het innoveren van de stealth en functionaliteit in toekomstige BlackEnergy 2 versies." Voor de crypto-liefhebbers publiceerde FireEye deze analyse van de eerste variant.
Of zijn er enkel .exe files ?
Ik was stilletjes aan het hopen op een spectaculair explosiefilmpje...
Een kennis van mij heeft pas een nieuwe laptop gekocht omdat er op zijn oude een virus zat!?!?!??!?
Ik denk dat ik morgen nieuwe schoenen ga kopen, want ik heb vandaag in de poep getrapt.
Sjonge wat ben ik blij dat ik VRIJ ben van dit soort onzin zeg!
PS. de BBcodes doen het niet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
