Исследователи кибербезопасности компании Check Point обнаружили новую кампанию , приписываемую китайской хакерской группе Tropic Trooper , которая использует новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah. Троянец входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует значок SMS Bomber и использует бомбер в качестве встроенного исполняемого файла. В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe. Эта полезная нагрузка представляет собой новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2 сервер. Окончательная полезная нагрузка кодируется в JPG изображение с использованием стеганографии . Собранная трояном информация включает следующее:
SSID ближайшей к устройству жертвы локальной беспроводной сети;
Имя компьютера;
MAC-адрес;
версия ОС;
информацию об установленном антивирусном ПО;
данные о наличии файлов WeChat и Tencent .
Более того, шифрование Yahoyah представляет собой специальную реализацию AES, которая дважды выполняет последовательность инвертированных циклов, чтобы усложнить специалистам анализ атаки.