Come dicono i ricercatori di Forcepoint Security, Quant viene venduto dai forum degli hacker dagli utenti con i pseudonimi MrRaiX e DamRaiX. È un programma di caricamento con funzioni di targeting geografico, oltre a caricare ed eseguire i file .exe e .dll. L'anno scorso, Quant è stato utilizzato dai criminali informatici per diffondere il software dannoso Locky Zepto e Pony.New blog: Quant Loader now includes a cryptocurrency wallet stealing component. https://t.co/nrbOetTFED pic.twitter.com/LbC6XOvktH— Forcepoint Labs (@ForcepointLabs) 5 dicembre 2017
Una nuova versione di Quant ha nuove funzionalità. In particolare, il Trojan ha una serie di file dannosi che vengono scaricati sul dispositivo infetto per impostazione predefinita. Il primo, bs.dll.c, permette di rubare la criptovaluta. Il secondo (sql.dll.c) è la libreria SQLite richiesta per eseguire il terzo file zs.dll.c, che consente di acquisire le credenziali della vittima.
Bs.dll.c (noto anche come MBS) è una libreria che consente di eseguire la scansione della directory Dati applicazioni per i portafogli crittografici. Il programma invia i dati rilevati al server C dell'hacker. Il Trojan attacca solo i wallet offline, che in particolare supportano bitcoin crypto (tra cui MultiBit ed Electrum), oltre a Terracoin (TRC), Peercoin (PPC) e Primecoin (XPM).
Il cosiddetto Z * Stealer (zs.dll.c) è in grado di rubare le credenziali dell'applicazione e del sistema operativo. Al completamento della scansione, le credenziali rubate vengono trasferite al server C; C utilizzando una richiesta POST HTTP. Z * Stealer può essere usato per rubare credenziali nelle reti Wi-Fi, nel browser Chrome, nei client di posta Thunderbird e in Outlook Express. La nuova versione di Quant contiene una funzione di modalità sleep, che consente di evitare il rilevamento da parte degli antivirus. Inoltre, secondo i ricercatori, i moduli maligni descritti sopra possono essere acquistati separatamente.
Post A Comment:
0 comments: