Fauxpersky: Nový malware vydaný v roce 2018

Digitalizace výrazně zlepšila naši životní úroveň, dělá věci jednodušší, rychlejší a spolehlivější. Ale pak udržování všech záznamů v počítači a jejich zpracování přes internet je jako mince se dvěma odlišnými stranami. S nesčetnými výhodami existuje několik pozoruhodných nevýhod, zejména hackeři a jejich nástroje známé jako malware. Nejnovějším přírůstkem do této velké rodiny malwaru je Fauxpersky. Sice se to rýmuje se slavným ruským antivirem 'Kaspersky', ale to je místo, kde se jejich cesty rozcházejí.. Fauxpersky se převléká za Kaspersky a je navržen tak, aby kradl uživatelské informace a posílal je hackerům přes internet. Šíří se přes USB disky, infikuje počítač uživatele, zachycuje všechny stisknuté klávesy jako keylogger a nakonec jej posílá do útočníkovy poštovní schránky přes Google.Formuláře. Logika názvu tohoto malwaru je jednoduchá. Cokoli vyrobeného jako imitace by bylo známé jako Faux, takže imitace Kaspersky by byla Faux – Kaspersky nebo Fauxpersky.

Abychom pochopili proces provádění tohoto malwaru, podívejme se nejprve na jeho různé součásti:

Key Logger

Google definuje počítačový program, který zaznamenává každý stisk klávesy uživatelem počítače, zejména za účelem získání podvodného přístupu k heslům a dalším důvěrným informacím. Nicméně, když byl Keylogger původně navržen, sloužil rodičům, kteří mohli sledovat online aktivitu svých dětí, a organizacím, kde zaměstnavatelé mohli určit, zda zaměstnanci pracují na požadovaných úkolech, které jim byly přiděleny.

Čtěte také: -

Jak se chránit před keyloggery Keyloggery jsou nebezpečné a aby zůstali chráněni, je třeba neustále aktualizovat software, používat klávesnici na obrazovce a dodržovat všechna...

AutoHotKey

AutoHotkey je bezplatný vlastní skriptovací jazyk s otevřeným zdrojovým kódem pro Microsoft Windows, původně zaměřený na poskytování jednoduchých klávesových zkratek nebo horkých kláves, rychlé vytváření maker a automatizaci softwaru, který umožňuje uživatelům většiny úrovní počítačových dovedností automatizovat opakující se úkoly v jakékoli aplikaci Windows. Z Wikipedie, bezplatné encyklopedie.

Formuláře Google

Formuláře Google jsou jednou z aplikací, které tvoří sadu online kancelářských aplikací Google. Slouží k vytvoření průzkumu nebo dotazníku, který je následně zaslán požadované skupině lidí a jejich odpovědi jsou zaznamenávány do jediné tabulky pro analytické účely.

Kaspersky

Kaspersky je známá ruská antivirová ochranná známka, která vyvinula antivirus, internetovou bezpečnost, správu hesel, zabezpečení koncových bodů a další produkty a služby kybernetické bezpečnosti.

Jak se někdy říká: „Příliš mnoho dobrých věcí může způsobit velkou špatnou věc“.

Fauxpersky recept

Fauxpersky byl vyvinut pomocí nástrojů AutoHotKey (AHK), které čtou všechny texty zadané uživatelem ze systému Windows a odesílají úhozy do jiných aplikací. Metoda používaná AHK keyloggerem je docela přímočará; šíří se pomocí techniky sebereplikace. Po spuštění v systému zahájí ukládání všech informací zadaných uživatelem do textového souboru s názvem příslušného okna. Funguje pod maskou Kaspersky Internet Security a všechny zaznamenané informace od stisknutí kláves odesílá hackerovi prostřednictvím Formulářů Google. Metoda extrakce dat je neobvyklá: útočníci je shromažďují z infikovaných systémů pomocí formulářů Google, aniž by vyvolali jakékoli pochybnosti v rámci bezpečnostních řešení analyzujících provoz, protože šifrovaná spojení s docs.google.com nevypadají podezřele. Jakmile bude seznam stisknutých kláves odeslán, je odstraněn z pevného disku, aby se zabránilo detekci. Jakmile je však systém infikován, malware se po restartu počítače znovu spustí. Vytvoří si také zástupce ve spouštěcím adresáři nabídky Start.

Fauxpersky: Modus Operandi

Proces počáteční infekce zatím není určen, ale poté, co malware napadne systém, prohledá všechny vyměnitelné jednotky připojené k počítači a replikuje se v nich. Vytvoří složku v %APPDATA% s názvem „ Kaspersky Internet Security 2017 “ se šesti soubory, z nichž čtyři jsou spustitelné a mají stejný název jako systémový soubor Windows: Explorers.exe, Spoolsvc.exe, Svhost.exe a Taskhosts.exe. Další dva soubory jsou obrázkový soubor s logem Kaspersky antivirus a další soubor, který je textovým souborem s názvem 'readme.txt'. Čtyři spustitelné soubory provádějí různé funkce:

• Explorers.exe – šíří se z hostitelských počítačů na připojené externí disky prostřednictvím duplikace souborů.
• Spoolsvc.exe – Změní hodnoty registru systému, což zase zabrání uživateli v zobrazení všech skrytých a systémových souborů.
• Svhost.exe- používá funkce AHK ke sledování aktuálně aktivního okna a protokolování všech úhozů zadaných do tohoto okna.
• Taskhosts.exe – slouží pro finální nahrání dat.

Všechna data zaznamenaná v textovém souboru budou odeslána do e-mailové schránky útočníka prostřednictvím formulářů Google a budou odstraněna ze systému. Navíc data přenášená prostřednictvím Google Forms již byla zašifrována, díky čemuž se zdá, že nahrávání dat Fauxpersky není v různých řešeních pro sledování provozu podezřelé.

Společnost Cybersecurity Company 'Cybereason' je připisována za objevení tohoto malwaru a i když neuvádí, kolik počítačů bylo infikováno, ale vzhledem k tomu, že inteligence Fauxpersky se šíří prostřednictvím staromódní metody sdílení USB disků. Jakmile byl Google upozorněn, okamžitě zareagoval tím, že do hodiny stáhl formulář ze svých serverů.

Odstranění

Pokud máte pocit, že je infikován i váš počítač, jednoduše přejděte do složky 'AppData' a zadejte složku 'Roaming' a odstraňte soubory související s aplikací Kaspersky Internet Security 2017 a samotný adresář ze spouštěcího adresáře umístěného v nabídce Start. Je také vhodné upravit hesla služeb, aby se zabránilo neoprávněnému použití účtů.

Dokonce i s nejnovějším antimalwarem, který lze koupit za peníze, by bylo nesprávné si myslet, že naše osobní údaje uložené v našich počítačích jsou v bezpečí, protože malware často vytvářejí aktivisté sociálního inženýrství po celém světě. Vývojáři antimalwaru mohou neustále aktualizovat definice malwaru, ale není vždy 100% možné odhalit anomální software vytvořený brilantními mozky, kteří sešli z cesty. Nejlepší způsob, jak zabránit infiltraci, je navštěvovat pouze důvěryhodné webové stránky a při používání externích disků dbát maximální opatrnosti.