Threat Database Malware Gelsevirine

Gelsevirine

Gelsevirinie se entrega a las máquinas comprometidas por un cargador de etapa intermedia llamado Gelsemicine. Gelsevirinie es el módulo de malware de última etapa implementado en ataques por el grupo Gelsemium APT (Advanced Persistent Threat). El cargador existe en dos versiones diferentes y la que se ejecuta depende de si el usuario infectado tiene privilegios administrativos o no. Si la víctima tiene los privilegios necesarios, Gelsevirine se colocará en C: \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll; de lo contrario, se entregará como una DLL llamada chrome_elf.dll en CommonAppData / Google / Chrome / Aplicación / Biblioteca / ubicación.

Una vez implementada en el sistema de destino, Gelsevirine inicia una configuración compleja para alcanzar y mantener la comunicación con su servidor de Comando y Control. Primero, se basa en una DLL incorporada para realizar el papel de intermediario. Además, una configuración separada es responsable de manejar los distintos tipos de protocolos como tcp, udp, http y https.

Los investigadores de Infosec pudieron detectar varios complementos que Gelsevirine busca e inicia, cada uno con una funcionalidad diferente. El complemento FxCoder es una herramienta de compresión y descompresión que facilita la comunicación C&C. A continuación, está el complemento de utilidad capaz de manipular el sistema de archivos en el dispositivo comprometido. El último de los complementos observados es Inter, una herramienta que permite la inyección de archivos DLL en los procesos elegidos.

Tendencias

Mas Visto

Cargando...