Un malware chiamato Hworm esegue più attacchi tra cui rubare le password dai browser Firefox, Opera e Chrome. Come? Ha la possibilità di registrare i tasti, terminare i processi in esecuzione, ed effettuare screenshot del proprio display del computer usando il backdoor.
Questo Malware, inizialmente identificato nel giugno 2016, è stato oggetto di osservazioni da parte dei ricercatori.
Questo Hworn ha identificato il file Payload come formato SFX e i file originali sono correlati a figure politiche e gruppi in Medio Oriente e nel Mediterraneo.
Il Payload Hworm nei video di Youtube
Una volta eseguito, il file SFX apre un documento, un video o un URL e, infine, esegue un payload Hworm in background.
Secondo Paloalto, quando viene aperto il file .url, il video di cui sopra viene visualizzato come un decoy. Non è chiaro in questo momento se l’inserzionista di questo video ha alcuna relazione con questo attacco particolare.
Le caratteristiche del malware
Un malware, come Hworm è caratterizzato dalle seguenti proprietà:
- può catturare screenshot dal nostro display in formato JPEG;
- keylogger: registrare la sequenza di tasti premuta sulla tastiera;
- consente di scaricare e eseguire file da Internet. Fornisce inoltre la possibilità di caricare gli eseguibili tramite la tecnica RunPE;
- consente di elencare file e directory, eliminare, rinominare ed eseguire i file e caricare o scaricare file tramite TCP o HTTP;
- ruba le password da Opera, Chrome e Mozilla Firefox;
- può scegliere di terminare autonomamente i processi;
- può informare l’hacker quando una periferica USB viene inserita nel computer incriminato;
- fornisce il client principale che contiene la configurazione del server.
Hits: 0
Seguici su Telegram