GravityRAT恶意软件以检查Windows PC的CPU温度来检测虚拟机或沙盒而闻名,现在也针对Android和MacOS设备

2020-10-20 20:09:20

GravityRAT是一种恶意软件菌株,以检查Windows电脑的CPU温度来检测虚拟机或沙盒而闻名,现在是多平台间谍软件,因为它现在也可以用来感染Android和MacOS设备。

至少自2015年以来,似乎有几个巴基斯坦黑客组织一直在积极开发The GravityRAT远程访问特洛伊木马(RAT),并将其部署在针对印度军事组织的有针对性的攻击中。

虽然恶意软件作者之前专注于针对Windows机器,但卡巴斯基研究人员去年发现的一个样本显示,他们现在正在添加MacOS和Android支持。

他们现在也在使用数字签名来签署代码,以使他们的诱杀应用程序看起来合法。

更新的NRAT示例是在分析Android间谍软件应用程序(即,InTravel Mate Pro)时检测到的,该应用程序会窃取联系人、电子邮件和文档,并将其发送到Anotonupdate[.]在线命令与控制服务器,该服务器也被另外两个针对Windows和MacOS平台的恶意应用程序(Enigma和Titium)使用。

受感染设备上的这些恶意应用程序丢弃的间谍软件恶意软件运行多平台代码,并允许攻击者向以下位置发送命令:

搜索计算机和扩展名为.doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf、.odt、.odp和.ods的可移动磁盘上的文件,并将它们上载到服务器。

卡巴斯基的研究人员发现,对使用的命令与控制(C&;C)地址模块的分析揭示了几个额外的恶意模块,这些模块也与GravityRAT背后的行为者有关。

总体而言,发现了10多个版本的GravityRAT,它们是以合法应用程序的名义分发的,例如安全文件共享应用程序,它将帮助保护用户的设备免受加密特洛伊木马程序或媒体播放器的攻击。

这些模块配合使用,使团队能够使用Windows OS、MacOS和Android。

卡巴斯基还发现了用.NET、Python和Electron开发的应用程序,这些应用程序通常是合法应用程序的克隆,它们将从C&;C服务器下载GravityRAT有效负载,并在受感染的设备上添加计划任务以获得持久性。

据报道,2015年至2018年间,大约检测到100起使用这种老鼠的成功攻击,国防和警察员工在通过Facebook被骗安装安全信使后感染了病毒。

虽然这些更新样本的感染媒介仍不清楚,但卡巴斯基表示,目标可能会像过去一样,收到指向恶意应用程序的下载链接。

我们的调查表明,GravityRAT背后的演员正在继续投资于其间谍能力,卡巴斯基安全专家塔季扬娜·希什科娃(Tatana Shishkova)说。

狡猾的伪装和扩大的操作系统组合不仅让我们可以说,我们可以预期亚太地区会发生更多这种恶意软件的事件,而且这也支持了一个更广泛的趋势,即恶意用户不一定专注于开发新的恶意软件,而是开发经过验证的恶意软件,以试图尽可能地成功。";