Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Malware EYE Malware

EYE Malware

Por GoldSparrow en Malware
Traducir a:
Español

EYE Malware es una herramienta posterior a la explotación que se ha observado como parte del arsenal de un grupo de piratas informáticos que se dirige específicamente a las empresas de transporte y envío de Kuwait. En los casos en los que se detectó EYE Malware, se implementó después de que los sistemas objetivo ya habían sido comprometidos por otro malware perteneciente a un grupo de piratas informáticos llamado Hisoka.

El papel de EYE Malware en las cadenas de ataque fue limpiar los rastros dejados por las actividades amenazantes de los actores de la amenaza. En resumen, es un dispositivo a prueba de fallas cuya tarea es eliminar cualquier artefacto de identificación dejado por conexiones no autorizadas del Protocolo de escritorio remoto (RDP), así como finalizar cualquier proceso creado por los atacantes.

Ejecución abierta, EYE Malware comienza a escanear en busca de intentos de inicio de sesión entrantes, ya sea localmente o mediante sesiones RDP remotas. También enumera todos los procesos creados después de que se haya iniciado EYE Malware. Cuando detecta una conexión, EYE Malware escribe la cadena única "¡¡¡Te esperamos, jefe !!!" a la consola antes de proceder a activar sus rutinas de limpieza. Primero, la amenaza terminará con todas las aplicaciones y herramientas abiertas por los piratas informáticos. Luego pasa a eliminar todos los archivos de documentos recientes mediante el uso de la lista de salto a través del comando:

Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Recent \\ * & Del / F / Q% APPDATA% \\ Microsoft \\ Windows \\ Recent \\ AutomaticDestinations \\ * & Del / F / Q % APPDATA% \\ Microsoft \\ Windows \\ Recent \\ CustomDestinations \\ *

EYE Malware también extrae ciertos valores de claves de registro específicas y el archivo 'Default.rdp' para eliminar cualquier signo potencial sobre las actividades del actor de la amenaza en la máquina comprometida. Los registros a los que se dirige el malware son:

  • Software \\ Microsoft \\ Terminal Server Client \\ Default
  • SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ WordWheelQuery
  • SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ TYPEDPATHS
  • Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ RunMRU

Finalmente, como último paso de su programación, el EYE Malware intentará eliminarse del sistema de destino ejecutando el comando taskkill / f / im & choice / CY / N / DY / T 3 & Del ' >. '

Artículos Relacionados

Tendencias

Mas Visto

Cargando...