ACRStealer variáns
Az AhnLab SEcurity intelligence Center (ASEC) jelentése az ACRStealer infostealer egy új, továbbfejlesztett variánsát mutatja be, amely különösen kényes adatok ellopására alkalmas, hatékony módosításokkal tarkított kártevő.
A friss verzió technikai újdonságai között kiemelkedik, a Heaven’s Gate technika, amely lehetővé teszi a 64-bites kód futtatását WoW64 folyamatokon belül, így az elemzési és detekciós rendszerek elkerülése lehetséges és a C2 kommunikáció, amely ahelyett, hogy nyilvános API-kat, WinHTTP-t vagy Winsockot használnának, a kártevő közvetlenül az NT‑eszközökön keresztül (például NtCreateFile, NtDeviceIoControlFile) építi fel a socket kapcsolatot, illetve maga állítja össze az HTTP-requestet, megnehezítve ezzel a hálózati monitorozást.
A kártevőben fedett domainnevek és IP-címek vannak, gyakori, hogy egy legitim, ismert domain jelenik meg a fejlécekben, míg valójában egy teljesen más IP-címhez csatlakozik a C2 szerver. Ilyenek például a microsoft.com, avast.com vagy pentagon.com, de ezek mögött általában eltérő IP található.
