​ Китай использует новый троян Yahoyah. Исследователи кибе | ITsec NEWS

​ Китай использует новый троян Yahoyah.

Исследователи кибербезопасности обнаружили кампанию новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah. Кампания приписывается китайской хакерской группе Tropic Trooper.

Троян входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует бомбер как встроенный исполняемый файл.

В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, — чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe.

Эта нагрузка — новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2-сервер. Окончательная полезная нагрузка кодируется в JPG-изображение с использованием стеганографии. Собранная трояном информация включает имя компьютера, MAC-адрес, версию ОС, информацию об установленном антивирусном ПО, данные о наличии файлов WeChat и Tencent.

#Китай #Троян #Yahoyah

ITsec NEWS