Fauxpersky: En ny malware udgivet i 2018

Digitaliseringen har forbedret vores levestandard betragteligt, hvilket gør tingene nemmere, hurtigere og pålidelige. Men at vedligeholde alle optegnelser på computer og behandle via internettet er som en mønt med to forskellige sider. Med utallige fordele er der et par bemærkelsesværdige ulemper, især hackere og deres værktøjer kender som malware. Den nyeste tilføjelse til denne store malware-familie er Fauxpersky. Selvom det rimer på det berømte russiske antivirus 'Kaspersky', men det er her, deres veje skilles. Fauxpersky forklæder sig som Kaspersky og er designet til at stjæle brugeroplysninger og sende dem til hackere via internettet. Det spredes gennem USB-drev, inficerer brugerens computer, fanger alle tastetryk som en keylogger og sender det til sidst til angriberens postkasse via GoogleFormularer. Logikken bag denne malwares navn er enkel. Alt lavet i efterligning ville blive kendt som Faux, derfor ville efterligning af Kaspersky være Faux – Kaspersky eller Fauxpersky.

For at forstå udførelsesprocessen af ​​denne malware, lad os først tjekke dens forskellige komponenter ud:

Nøglelogger

Google definerer et computerprogram, der registrerer hvert tastetryk foretaget af en computerbruger, især for at få svigagtig adgang til adgangskoder og andre fortrolige oplysninger. Men da den oprindeligt blev designet, tjente Keylogger et formål for forældre, der kunne overvåge deres børns onlineaktivitet, og for organisationer, hvor arbejdsgivere kunne afgøre, om medarbejderne arbejdede med de ønskede opgaver, de blev tildelt.

Læs også:-

Sådan beskytter du dig selv mod keyloggere Keyloggere er farlige, og for at forblive beskyttet skal man altid holde software opdateret, bruge skærmtastaturer og følge alle...

AutoHotKey

AutoHotkey er et gratis , open source brugerdefineret scriptsprog til Microsoft Windows, som oprindeligt sigtede mod at give nemme tastaturgenveje eller genvejstaster, hurtig makrooprettelse og softwareautomatisering, der giver brugere af de fleste niveauer af computerfærdigheder mulighed for at automatisere gentagne opgaver i enhver Windows-applikation. Fra Wikipedia, den frie encyklopædi.

Google Forms

Google Forms er en af ​​de apps, der udgør Googles online-kontorapps. Det bruges til at oprette en undersøgelse eller et spørgeskema, som derefter sendes til den ønskede gruppe af personer, og deres svar registreres i et enkelt regneark til analytiske formål.

Kaspersky

Kaspersky er et velkendt russisk antivirusvaremærke, som har udviklet antivirus, internetsikkerhed, adgangskodestyring, slutpunktssikkerhed og andre cybersikkerhedsprodukter og -tjenester.

Der, som det nogle gange siges "For mange gode ting kan gøre en stor dårlig ting".

Fauxpersky opskrift

Fauxpersky blev udviklet ved hjælp af AutoHotKey (AHK) værktøjer, som læser alle tekster, som brugeren indtaster fra Windows og sender tastetryk til andre programmer. Metoden, der bruges af AHK keylogger, er ret ligetil; det spredes gennem selvreplikationsteknik. Når den først er udført på systemet, begynder den at gemme al den information, som er indtastet af brugeren, i en tekstfil, der bærer det respektive vindues navn. Det fungerer under en maske af Kaspersky Internet Security og sender alle de oplysninger, der er registreret fra tastetryk, til en hacker gennem Google Forms. Dataudtræksmetoden er ualmindelig: Angribere samler dem fra inficerede systemer ved hjælp af Google-formularer uden at skabe tvivl i sikkerhedsløsningerne, der analyserer trafik, da krypterede forbindelser med docs.google.com ikke ser mistænkelige ud. Når listen over tastetryk er blevet sendt,

Fauxpersky: Modus Operandi

Processen med den første infektion er ikke fastlagt endnu, men efter at malware kompromitterer et system, scanner den alle de flytbare drev, der er knyttet til computeren og replikerer sig selv i dem. Den opretter en mappe i %APPDATA% ved navn " Kaspersky Internet Security 2017 " med seks filer, hvoraf fire er eksekverbare og har samme navn som Windows-systemfilen: Explorers.exe, Spoolsvc.exe, Svhost.exe og Taskhosts.exe. De to andre filer er en billedfil med Kaspersky antivirus-logo og en anden fil, som er en tekstfil med navnet 'readme.txt'. De fire eksekverbare filer udfører forskellige funktioner:

• Explorers.exe – spredes fra værtsmaskiner til tilsluttede eksterne drev gennem filduplikering.
• Spoolsvc.exe – Det ændrer systemets registreringsværdier, hvilket igen forhindrer brugeren i at se alle de skjulte filer og systemfiler.
• Svhost.exe- bruger AHK-funktioner til at overvåge det aktuelt aktive vindue og logge alle tastetryk, der er indtastet i det vindue.
• Taskhosts.exe – bruges til den endelige dataupload.

Alle data, der er registreret i tekstfilen, vil blive sendt til angriberens postkasse via Google-formularer og slettes fra systemet. Derudover er de data, der overføres via Google Forms, allerede blevet krypteret, hvilket gør, at Fauxperskys datauploads ikke ser ud til at være mistænkelige i forskellige trafikovervågningsløsninger.

Cybersikkerhedsfirmaet 'Cybereason' er krediteret for at have opdaget denne malware, og selvom det ikke angiver, hvor mange computere der er blevet inficeret, men givet at Fauxperskys intelligens spredes gennem den gammeldags metode til at dele USB-drev. Da Google blev underrettet, reagerede det straks ved at fjerne formularen fra sine servere inden for en time.

Fjernelse

Hvis du føler, at din computer også er inficeret, skal du blot få adgang til mappen 'AppData' og gå ind i mappen 'Roaming' og slette de filer, der er relateret til Kaspersky Internet Security 2017 og selve mappen fra opstartsmappen, der findes i startmenuen. Det er også tilrådeligt at ændre adgangskoden til tjenesterne for at undgå uautoriseret brug af konti.

Selv med den nyeste antimalware, kan man købe penge, ville det være forkert at tro, at vores personlige oplysninger, der er gemt på vores computere, er sikre, fordi malwares ofte bliver skabt af social engineering-aktivister over hele verden. Antimalware-udviklerne kan blive ved med at opdatere malware-definitionerne, men det er ikke altid 100 % muligt at opdage den unormale software, der er skabt af de geniale hoveder, der er kommet på afveje. Den bedste måde at forhindre infiltration på er kun at besøge pålidelige websteder og være ekstrem forsigtig, mens du bruger eksterne drev.