SystemBC Malware прокладывает путь для других вредоносных атак

Исследователи заметили новую вредоносную программу, нацеленную на системы Windows. Названный systembc malware, он становится все более популярным среди киберпреступников из-за его поразительной злонамеренности. Что тревожит пользователей, так это то, что он напрямую прокладывает путь для большего количества вредоносных атак. Это означает, что обнаружение вредоносных программ SystemBC непосредственно указывает на наличие второго заражения и т.д.

Атаки вредоносных программ SystemBC

По словам исследователей из Proofpoint, атаки вредоносных программ SystemBC, похоже, набирают силу. Подробно излагая свои выводы в блоге, исследователи раскрывают инфекционные черты вредоносного ПО.

Исследователи поймали эту вредоносную программу, участвующую в нескольких кампаниях по доставке других вредоносных программ. Они обнаружили, что SystemBC служил прокси-вредоносным ПО в этих кампаниях.

В июне 2019 исследователи заметили наличие вредоносного ПО в кампании Fallout EK и кампании Fallout EK и PowerEnum, предоставляющих Maze ransomware и Danabot banking Trojan соответственно. Позже, в июле 2019, они обнаружили, что он присутствует с загрузчиком Amadey, распространяемым через кампанию RIG EK.

Proofpoint также обнаружил предполагаемую рекламу в отношении вредоносного ПО, которая заставила их поверить, что она продается на “подземном рынке”.

Как говорится в их блоге,

Мы нашли рекламу … на подпольном форуме, который описал вредоносную программу под названием ”socks5 backconnect system”, которая соответствовала функциональности вредоносной программы, замеченной в вышеупомянутых кампаниях. Чтобы отличить от других вредоносных программ, использующих SOCKS5, мы назвали новую вредоносную программу “SystemBC” на основе показанного пути URI.

SystemBC Malware прокладывает путь для других вредоносных атак — Источник: Proofpoint

Они также могли видеть скриншоты панели C&C вредоносных программ, панели администратора и systembc builder с рекламой.

Написанная на C++, вредоносная программа, достигнув устройства жертвы, создает прокси SOCKS5, чтобы злоумышленники ” скрывали вредоносный трафик, связанный с другой вредоносной программой”.

Исследователи дали подробный технический анализ вредоносного ПО в своем блоге .

Сложная вредоносная программа

В последнем случае исследователи поймали эту вредоносную программу, заражающую системы Windows.

Fallout exploit используется для загрузки банковского трояна Danabot и прокси SOCKS5, который используется в системе Windows жертвы, чтобы избежать обнаружения командно-контрольного (C&C) трафика.

Из-за уникального свойства скрывать плохой трафик и облегчать вторую инфекцию вредоносного ПО, исследователя считают его трудной вредоносной программой вызывая новые угрозы.

Синергия между SystemBC как вредоносным прокси и основным вредоносным ПО создает новые проблемы для защитников, полагающихся на обнаружение сетевых краев для перехвата и смягчения угроз, таких как банковские трояны.