마우스 움직임에 숨어있는 악성 코드가 숨어 있다고 말한다. (마우스 클릭을 모니터링하는 것을 포함하여) 감염된 컴퓨터와의 적극적인 인간 관계를 결정합니다.

Trojan.APT.BaneChant라고 불리는이 악성 코드는 대상 전자 메일 공격 중 전송 된 악용 사례로 조작 된 Word 문서를 통해 배포됩니다. 파이어 아이 여사의 종룽화 (Chong Rong Hwa) 연구원은 블로그 포스트에서 "이 무기 문서는 중동과 중앙 아시아의 정부를 대상으로 사용 된 것으로 의심된다"고 전했다.

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

다단계 공격

공격은 여러 단계에서 작동합니다. 악의적 인 문서는 바이러스 백신 샌드 박스 또는 자동화 된 악성 프로그램 분석 시스템과 같이 운영 환경이 가상화 된 운영 체제인지 여부를 확인하려는 구성 요소를 다운로드하고 실행하며 두 번째 공격 단계를 시작하기 전에 마우스 작업이 있는지 기다립니다.

마우스 클릭 모니터링은 새로운 탐지 회피 기술은 아니지만 과거에는 일반적으로 마우스 클릭 한 번만 확인한 악성 코드가 있다고 Rong Hwa는 말했습니다. BaneChant는 URL을 해독하고.jpg 이미지 파일로 가장하는 백도어 프로그램을 다운로드하기 전에 최소 세 번의 마우스 클릭을 기다린다 고 말했다.

멀웨어는 다른 탐지 도피 방법도 사용합니다. 예를 들어, 공격의 첫 번째 단계에서 악의적 인 문서는 dro.ly URL에서 드로퍼 구성 요소를 다운로드합니다. Ow.ly는 악성 도메인이 아니지만 URL 단축 서비스입니다.

이 서비스를 사용하는 이유는 대상 컴퓨터 나 네트워크에서 URL 블랙리스트 서비스를 사용하지 않는 것입니다. ("재택 근무 사기의 스팸 발송자.gov URL 단축 서비스"참조). 마찬가지로 공격의 두 번째 단계에서 악의적 인.jpg 파일은 No-IP 동적으로 생성 된 URL에서 다운로드됩니다 DNS (Domain Name System) 서비스.

첫 번째 구성 요소에서로드 한 후.jpg 파일은 "C: ProgramData Google2 \"폴더에 GoogleUpdate.exe라는 자체 복사본을 삭제하고 링크도 만듭니다 사용자의 시작 폴더에있는 파일에 복사하여 모든 컴퓨터를 재부팅 한 후 실행되도록합니다.

이는 사용자가 파일이 Google 업데이트 서비스의 일부라고 생각하도록 속이는 시도입니다. 일반적으로 설치되어있는 합법적 인 프로그램입니다. "C: Program Files Google Update \"아래에서 Rong Hwa가 말했다.

백도어 프로그램은 시스템 정보를 수집 및 업로드하여 명령 및 제어 서버에 전송하고 다운로드 및 실행 명령 감염된 컴퓨터의 추가 파일.

방어 기술이 발전함에 따라 맬웨어 또한 Rong Hwa는 말했다. 이 경우 맬웨어는 사람 행동을 감지하여 샌드 박스 분석을 회피하고, 실행 파일의 멀티 바이트 XOR 암호화를 수행하고, 합법적 인 프로세스로 가장하여 네트워크 수준의 바이너리 추출 기술을 회피하고, 파일리스를 사용하여 법의학 분석을 피하는 등의 여러 가지 기법을 사용했습니다 악의적 인 코드가 메모리에 직접로드되고 URL 단축 및 동적 DNS 서비스를 통한 리디렉션을 사용하여 자동화 된 도메인 블랙리스트 생성을 방지한다고 그는 말했다.