Hworm: il payload malefico che infetta tramite i video di Youtube

Un malware chiamato Hworm esegue più attacchi tra cui rubare le password dai browser Firefox, Opera e Chrome. Come? Ha la possibilità di registrare i tasti, terminare i processi in esecuzione, ed effettuare screenshot del proprio display del computer usando il backdoor.

Questo Malware, inizialmente identificato nel giugno 2016, è stato oggetto di osservazioni da parte dei ricercatori.

Questo Hworn ha identificato il file Payload come formato SFX e i file originali sono correlati a figure politiche e gruppi in Medio Oriente e nel Mediterraneo.

Il Payload Hworm nei video di Youtube

Una volta eseguito, il file SFX apre un documento, un video o un URL e, infine, esegue un payload Hworm in background.

Malicious Payload Hworm

Secondo Paloalto, quando viene aperto il file .url, il video di cui sopra viene visualizzato come un decoy. Non è chiaro in questo momento se l’inserzionista di questo video ha alcuna relazione con questo attacco particolare.

Le caratteristiche del malware

Un malware, come Hworm è caratterizzato dalle seguenti proprietà:

  • può catturare screenshot dal nostro display in formato JPEG;
  • keylogger: registrare la sequenza di tasti premuta sulla tastiera;
  • consente di scaricare e eseguire file da Internet. Fornisce inoltre la possibilità di caricare gli eseguibili tramite la tecnica RunPE;
  • consente di elencare file e directory, eliminare, rinominare ed eseguire i file e caricare o scaricare file tramite TCP o HTTP;
  • ruba le password da Opera, Chrome e Mozilla Firefox;
  • può scegliere di terminare autonomamente i processi;
  • può informare l’hacker quando una periferica USB viene inserita nel computer incriminato;
  • fornisce il client principale che contiene la configurazione del server.

Fonte

%d blogger hanno fatto clic su Mi Piace per questo: