Αλλαγές στην ελευταία έκδοση του Citadel Trojan


Ερευνητές ασφάλειας από τη S21sec, εντόπισαν δυο μεγάλες αλλαγές στη τελευταία έκδοση του Citadel Trojan. Οι δυο μεγάλες αυτές αλλαγές, οι οποίες έχουν λάβει τις ονομασίες “Anti-emulator” και “Encryption change”, προσπαθούν να καταστήσουν το κακόβουλο λογισμικό μη αντιληπτό από τους αναλυτές κακόβουλου λογισμικού (malware).
 
Ο αντί-εξομοιωτής (Anti-emulator) όταν ξεκινά, έχει ενσωματωμένο ένα μηχανισμό όπου ελέγχει εάν εκτελείται σε εικονικό μηχάνημα ή σε περιβάλλον sandboxes (CWSandbox, VMware, Virtualbox).
 
Εάν ανιχνεύσει την παρουσία τους, αρχίζει να συμπεριφέρεται διαφορετικά. Δεν έχουν ανακοινωθεί λεπτομέρειες σχετικά με τον τρόπο που αντιδρά, γιατί η τεχνολογία που χρησιμοποιεί είναι πολύπλοκη και δεν έχει επαρκώς αναλυθεί μέχρι στιγμής.
 
Σύμφωνα με τους ερευνητές, απλά προσπαθεί να σαρώσει τους πόρους των τρεχόντων διεργασιών, ψάχνοντας να βρει συγκεκριμένα πρότυπα στο πεδίο ‘’CompanyName’’ όπως “vmware”, “sandbox”, “virtualbox”, “geswall”.
Όταν τρέχει σε εικονικό μηχάνημα (VM), το Citadel Trojan δημιουργεί ένα ψεύτικο domain name και προσπαθεί να συνδεθεί πάνω του. Με αυτό το τέχνασμα εξαπατά τους ερευνητές οδηγώντας τους στο συμπέρασμα ότι η σύνδεση δεν είναι εφικτή.
 
Αυτή δεν είναι η μοναδική μετάλλαξη που έγινε στο Citadel Trojan.ΟΙ ειδικοί διαπίστωσαν ότι υπάρχει διαφορά στην έκδοση RC4 σε σχέση με την προηγούμενη έκδοση.
 
Πηγή:secnews.gr

Αν σας άρεσε το άρθρο και το βρήκατε χρήσιμο υποστηρίξτε στα κοινωνικά δίκτυα με ένα Liketweet για να συνεχίσω. 

Ακολουθήσετε το Tech News in Greek στο Google News για να μαθαίνετε άμεσα όλα τα νέα.