Fauxpersky: Нов зловреден софтуер, пуснат през 2018 г

Дигитализацията подобри значително нашия стандарт на живот, правейки нещата по-лесни, по-бързи и надеждни. Но тогава поддържането на всички записи на компютър и обработката чрез интернет е като монета с две различни страни. С безброй предимства има няколко забележителни недостатъка, особено хакерите и техните инструменти, познати като зловреден софтуер. Най-новото допълнение към това голямо семейство зловреден софтуер е Fauxpersky. Въпреки че се римува с известния руски антивирус „Kaspersky“, но именно там пътищата им се разминават. Fauxpersky се маскира като Kaspersky и е предназначен да краде потребителска информация и да я изпраща на хакери през интернет. Той се разпространява чрез USB устройства, заразява компютъра на потребителя, улавя всички натискания на клавиши като кейлогър и накрая го изпраща до пощенската кутия на нападателя чрез GoogleФорми. Логиката зад името на този зловреден софтуер е проста. Всичко, направено в имитация, ще бъде известно като Faux, следователно имитация на Kaspersky ще бъде Faux – Kaspersky или Fauxpersky.

За да разберем процеса на изпълнение на този зловреден софтуер, нека първо да проверим различните му компоненти:

Key Logger

Google дефинира компютърна програма, която записва всяко натискане на клавиш от потребител на компютър, особено за получаване на измамнически достъп до пароли и друга поверителна информация. Въпреки това, когато първоначално е проектиран, Keylogger служи за цел на родителите, които могат да наблюдават онлайн дейността на децата си, и на организациите, където работодателите могат да определят дали служителите работят по желаните задачи, които са им възложени.

Прочетете също: -

Как да се предпазите от кейлогъри Кейлогърите са опасни и за да останете защитени, трябва винаги да поддържате софтуера актуализиран, да използвате екранни клавиатури и да следвате всички...

AutoHotKey

AutoHotkey е безплатен персонализиран език за скриптове с отворен код за Microsoft Windows, първоначално насочен към предоставяне на лесни клавишни комбинации или бързи клавиши, бързо създаване на макроси и софтуерна автоматизация, която позволява на потребителите с повечето нива на компютърни умения да автоматизират повтарящи се задачи във всяко приложение на Windows. От Уикипедия, безплатната енциклопедия.

Google Формуляри

Google Forms е едно от приложенията, които формират пакета от онлайн офис приложения на Google. Използва се за създаване на анкета или въпросник, който след това се изпраща до желаната група хора и техните отговори се записват в една електронна таблица за аналитични цели.

Касперски

Kaspersky е добре позната руска антивирусна търговска марка, която е разработила антивирусна, интернет сигурност, управление на пароли, сигурност на крайните точки и други продукти и услуги за киберсигурност.

Там, както понякога се казва „Твърде много добри неща могат да направят голямо лошо нещо“.

Fauxpersky рецепта

Fauxpersky е разработен с помощта на инструменти AutoHotKey (AHK), които четат всички текстове, въведени от потребителя от Windows, и изпращат натискания на клавиши към други приложения. Методът, използван от AHK keylogger, е доста ясен; разпространява се чрез техника на саморепликация. Веднъж изпълнен в системата, той започва да съхранява цялата въведена от потребителя информация в текстов файл, носещ името на съответния прозорец. Той работи под маската на Kaspersky Internet Security и изпраща цялата информация, записана от натисканията на клавиши, до хакер чрез Google Forms. Методът за извличане на данни е необичаен: нападателите ги събират от заразени системи, използвайки формуляри на Google, без да предизвикват никакво съмнение в решенията за сигурност, анализиращи трафика, тъй като криптираните връзки с docs.google.com не изглеждат подозрителни. След като списъкът с натискания на клавиши е изпратен, той се изтрива от твърдия диск, за да се предотврати откриването. Въпреки това, след като системата е заразена, зловредният софтуер се зарежда отново след рестартиране на компютъра. Той също така създава пряк път за себе си в стартовата директория на менюто "Старт".

Fauxpersky: Modus Operandi

Процесът на първоначално заразяване все още не е определен, но след като злонамереният софтуер компрометира системата, той сканира всички сменяеми устройства, свързани към компютъра и се репликира в тях. Той създава папка в %APPDATA% с името „ Kaspersky Internet Security 2017 “ с шест файла, четири от които са изпълними и имат същото име като системния файл на Windows: Explorers.exe, Spoolsvc.exe, Svhost.exe и Taskhosts.exe. Другите два файла са файл с картина с антивирусно лого на Kaspersky и друг файл, който е текстов файл с името 'readme.txt'. Четирите изпълними файла изпълняват различни функции:

• Explorers.exe – разпространява се от хост машини към свързани външни устройства чрез дублиране на файлове.
• Spoolsvc.exe – Променя стойностите на системния регистър на системата, което от своя страна не позволява на потребителя да преглежда всички скрити и системни файлове.
• Svhost.exe- използва AHK функции за наблюдение на текущо активния прозорец и регистриране на всички натискания на клавиши, въведени в този прозорец.
• Taskhosts.exe – използва се за окончателното качване на данни.

Всички данни, записани в текстовия файл, ще бъдат изпратени в пощенската кутия на нападателя чрез Google формуляри и ще бъдат изтрити от системата. В допълнение, данните, предавани чрез Google Forms, вече са криптирани, което прави качванията на данни на Fauxpersky не изглеждат подозрителни в различни решения за наблюдение на трафика.

Компанията за киберсигурност 'Cybereason' е заслуга за откриването на този зловреден софтуер и въпреки че не посочва колко компютри са били заразени, но като се има предвид, че интелигентността на Fauxpersky се разпространява чрез старомоден метод за споделяне на USB устройства. След като Google беше уведомен, той незабавно отговори, като свали формуляра от сървърите си в рамките на един час.

Премахване

Ако смятате, че компютърът ви също е заразен, просто отворете папката „AppData“ и влезте в папката „Роуминг“ и изтрийте файловете, свързани с Kaspersky Internet Security 2017 и самата директория от директорията за стартиране, намираща се в стартовото меню. Също така е препоръчително да промените паролите на услугите, за да избегнете неоторизирано използване на акаунтите.

Дори и с най-новия антизловреден софтуер, парите могат да бъдат закупени, би било погрешно да се мисли, че нашата лична информация, съхранявана на нашите компютри, е безопасна, тъй като злонамерен софтуер често се създава от активисти за социално инженерство по целия свят. Разработчиците на антизловреден софтуер могат да продължат да актуализират дефинициите на зловреден софтуер, но не винаги е 100% възможно да се открие аномалния софтуер, създаден от брилянтните умове, които са се заблудили. Най-добрият начин да предотвратите проникване е да посещавате само доверени уебсайтове и да внимавате изключително внимателно, докато използвате външни устройства.