Pelbagai aplikasi berniat jahat ditemui dengan kempen ini, dan ia telah dibangunkan untuk menjangkiti mangsa dengan ransomware, menanam pintu belakang dalam rangkaian organisasi dengan motivasi politik.
Researchers believe that the malware authors are motivated by their political beliefs and turned into malware distribution in different forms.
Malware Infection Process
Pada mulanya, penyerang menghantar malware melalui kempen e-mel malspam dengan kandungan badan palsu yang berkaitan dengan peringatan penipuan perbankan, dan ia berasal dari pengarah Risiko Global untuk Visa syarikat kad kredit.
E-mel malspam datang dengan lampiran yang berniat jahat yang mengandungi fail RTF, sebaik sahaja ia dibuka, dokumen RTF mengambil PE32 berniat jahat yang boleh dilaksanakan dari pelayan yang dikendalikan oleh penyerang menggunakan Dynamic Data Exchange (DDE).
Proses jangkitan bermula apabila PE32 dilaksanakan, dan pengarang malware membangunkan senarai nama, terminologi, dan ikonografi yang menghasilkan berita utama di seluruh spektrum politik.
Terdapat beberapa contoh malware yang ditemui, dianalisis oleh penyelidik, dan sampel telah diperoleh dari pelbagai repositori malware.
Fake Ransomware dan Screenlockers
Beberapa sampel digunakan untuk menjangkiti sasaran yang ditimbulkan sebagai ikonografi yang berkaitan dengan tokoh politik terkenal seperti Donald Trump dengan ransomware palsu dan loker skrin yang tidak menyulitkan sebarang fail.
Ia menipu mangsa untuk percaya bahawa sistem mereka dijangkiti dengan ransomware ditipu untuk membayar permintaan tebusan dalam usaha untuk mendapatkan semula akses kepada data mereka.
Dalam loker tema Donald Trump yang lain, ia meminta mangsa mengambil tindakan yang jelas, apabila mereka mengklik, tiba-tiba mendapat skrin kunci. jika mangsa klik butang sekali lagi, maka latar belakang akan terus berubah.
RAT – Remote Access Trojan
Penyelidik juga menemui satu lagi kempen RAT yang bertemakan politik yang menyampaikan Neshta dan NJRAT yang menggunakan tema dan gambar yang tidak biasa yang dinamakan sebagai "Papa-Putin [.] Exe." Untuk menyampaikan bayaran kepada mesin mangsa.
Menurut penyelidikan Talos, Akhirnya, kita melihat RAT yang disampaikan melalui dokumen Word yang berjudul "12 perkara Trump harus tahu tentang Korea Utara.doc." Pada mulanya, dokumen itu kelihatan tidak berfungsi dengan baik, kerana mengambil masa beberapa minit untuk dokumen itu dibuka pada sistem analisis.
Para penyelidik mendapati bahawa kempen ini juga menggunakan spreadsheet Excel berniat jahat sebagai dokumen umpan yang mengandungi fail SWF terbenam yang dibangunkan untuk menjangkiti mangsa dengan ROKRAT.
Crypters/Packers
Kempen massa ini juga mendorong crypter dengan ikonografi dengan nama "Trump Crypter" yang membantu untuk mengelakkan pengesanan antivirus dengan menyulitkan kod berniat jahat yang berkaitan dengan binari malware.
Selain dari malware ini, penyelidik juga mendapati sejumlah besar aplikasi perisian yang berkaitan dengan "rawak" politik.
Sekeping perisian ganjil yang terdapat di dalam kempen ini, yang dipanggil "Cyber Security Firewall ™ Trump," kelihatan tertumpu pada mengeras sistem Windows dengan cara bermotivasi politik.
Aplikasi ini mempunyai keupayaan untuk membolehkan debugging dan akses desktop jauh. "Tidak ada apa-apa niat jahat dalam reka bentuk aplikasi ini, sebaliknya nampaknya merupakan aplikasi yang ditulis untuk membolehkan pentadbir sistem untuk menyelesaikan beberapa tugas yang biasanya mereka temui secara kerap ketika menguruskan titik akhir Windows"
"Salah satu daripada aspek penyiasatan yang tidak dijangka ialah kehadiran gewang yang menjatuhkan malware yang dikaitkan dengan serangan negara-negara berganda pada masa lalu. "Kata Talos.
Sumber: http://bit.ly/36OyLjw