Китай использует новый троян Yahoyah

[Artifact]

Троян использует SMS Bomber для сбора данных устройства

Исследователи кибербезопасности компании Check Point обнаружили новую кампанию , приписываемую китайской хакерской группе Tropic Trooper , которая использует новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah.
Троянец входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует значок SMS Bomber и использует бомбер в качестве встроенного исполняемого файла.
В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe.
Эта полезная нагрузка представляет собой новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2 сервер. Окончательная полезная нагрузка кодируется в JPG изображение с использованием стеганографии . Собранная трояном информация включает следующее:

• SSID ближайшей к устройству жертвы локальной беспроводной сети;

• Имя компьютера;

• MAC-адрес;

• версия ОС;

• информацию об установленном антивирусном ПО;

• данные о наличии файлов WeChat и Tencent .

Более того, шифрование Yahoyah представляет собой специальную реализацию AES, которая дважды выполняет последовательность инвертированных циклов, чтобы усложнить специалистам анализ атаки.