Malware CR4T utilizzato nella campagna DuneQuixote

Gli enti governativi del Medio Oriente sono diventati il fulcro di un'operazione segreta che mira a introdurre un nuovo punto di ingresso clandestino noto come CR4T.

Secondo i ricercatori di sicurezza informatica, questa attività è stata portata alla luce nel febbraio 2024, indicando un’attività potenziale che risale ad almeno un anno fa. Denominata DuneQuixote, la campagna è stata eseguita con tattiche volte a contrastare il rilevamento e l'analisi, sia nei canali di comunicazione che all'interno del malware stesso.

Catena d'attacco CR4T

L'attacco inizia con un dropper, disponibile in due forme: un file eseguibile o DLL standard e un programma di installazione modificato per lo strumento legittimo Total Commander. Indipendentemente dalla variante, il compito principale del dropper è quello di estrarre un indirizzo di comando e controllo (C2) crittografato utilizzando un metodo innovativo per offuscare la posizione del server, impedendo un facile rilevamento da parte di strumenti di analisi automatizzati.

Questo processo prevede la combinazione del nome file del dropper con frammenti selezionati di poesie spagnole all'interno del codice, quindi la generazione di un hash MD5 per decrittografare l'indirizzo del server C2.

Una volta connesso al server C2, il dropper recupera un payload successivo, a condizione che presenti una stringa User-Agent predefinita nella richiesta HTTP. L'accesso a questo payload è limitato e richiede lo User-Agent corretto o la disponibilità per un rilascio campione post-malware per un periodo limitato.

Nel frattempo, il programma di installazione Trojanized Total Commander mantiene la funzione principale del dropper ma incorpora modifiche. Elimina le stringhe della poesia spagnola e aggiunge ulteriori controlli anti-analisi, impedendo le connessioni al server C2 in condizioni specifiche, come la presenza di strumenti di debug, mancanza di movimento del cursore dopo un periodo prestabilito, RAM o spazio su disco insufficienti.

CR4T, codificato in C/C++, è un impianto di sola memoria che facilita l'accesso degli aggressori tramite una console a riga di comando, conducendo operazioni sui file e scambiando dati con il server C2.

Entro il Zaib
April 22, 2024
Computer Security
Italiano
April 22, 2024
Computer Security

Post popolari

Errore: truffa pop-up Ox800VDS

28 days fa

Softcnapp Applicazione potenzialmente indesiderata

2 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

9 months fa

Trojan del servizio Alrucs

19 days fa

Remor.xyz dirottatore del browser

17 days fa

Uazq Ransomware è un nuovo membro della famiglia Djvu

18 days fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.