Китай использует новый троян Yahoyah. Исследователи кибе | ITsec NEWS
Китай использует новый троян Yahoyah.
Исследователи кибербезопасности обнаружили кампанию новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah. Кампания приписывается китайской хакерской группе Tropic Trooper.
Троян входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует бомбер как встроенный исполняемый файл.
В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, — чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe.
Эта нагрузка — новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2-сервер. Окончательная полезная нагрузка кодируется в JPG-изображение с использованием стеганографии. Собранная трояном информация включает имя компьютера, MAC-адрес, версию ОС, информацию об установленном антивирусном ПО, данные о наличии файлов WeChat и Tencent.
#Китай #Троян #Yahoyah
ITsec NEWS