Fauxpersky: Ένα νέο κακόβουλο λογισμικό που κυκλοφόρησε το 2018

Η ψηφιοποίηση έχει βελτιώσει σημαντικά το βιοτικό μας επίπεδο, κάνοντας τα πράγματα ευκολότερα, πιο γρήγορα και αξιόπιστα. Αλλά τότε η διατήρηση όλων των αρχείων στον υπολογιστή και η επεξεργασία μέσω του Διαδικτύου είναι σαν ένα νόμισμα με δύο ανόμοιες όψεις. Με αμέτρητα πλεονεκτήματα, υπάρχουν μερικά αξιοσημείωτα μειονεκτήματα, ειδικά οι χάκερ και τα εργαλεία τους που είναι γνωστό ως κακόβουλο λογισμικό. Η νεότερη προσθήκη σε αυτή τη μεγάλη οικογένεια κακόβουλου λογισμικού είναι το Fauxpersky. Αν και έχει ομοιοκαταληξία με το διάσημο ρωσικό antivirus «Kaspersky», αλλά εκεί διαφέρουν οι δρόμοι τους.. Ο Fauxpersky μεταμφιέζεται σε Kaspersky και έχει σχεδιαστεί για να κλέβει πληροφορίες χρηστών και να τις στέλνει σε χάκερ μέσω Διαδικτύου. Διαδίδεται μέσω μονάδων USB, μολύνει τον υπολογιστή του χρήστη, καταγράφει όλες τις πληκτρολογήσεις σαν keylogger και τελικά το στέλνει στο γραμματοκιβώτιο του εισβολέα μέσω της GoogleΦόρμες. Η λογική πίσω από το όνομα αυτού του κακόβουλου λογισμικού είναι απλή. Οτιδήποτε γίνεται σε απομίμηση θα είναι γνωστό ως Faux, επομένως η απομίμηση του Kaspersky θα είναι Faux – Kaspersky ή Fauxpersky.

Για να κατανοήσουμε τη διαδικασία εκτέλεσης αυτού του κακόβουλου λογισμικού, ας δούμε πρώτα τα διάφορα στοιχεία του:

Key Logger

Η Google ορίζει ένα πρόγραμμα υπολογιστή που καταγράφει κάθε πάτημα πλήκτρων από έναν χρήστη υπολογιστή, ειδικά για να αποκτήσει δόλια πρόσβαση σε κωδικούς πρόσβασης και άλλες εμπιστευτικές πληροφορίες. Ωστόσο, όταν σχεδιάστηκε αρχικά, το Keylogger εξυπηρετούσε έναν σκοπό στους γονείς που μπορούσαν να παρακολουθούν τη διαδικτυακή δραστηριότητα των παιδιών τους και σε οργανισμούς όπου οι εργοδότες μπορούσαν να καθορίσουν εάν οι εργαζόμενοι εργάζονταν στις επιθυμητές εργασίες που τους είχαν ανατεθεί.

Διαβάστε επίσης: -

Πώς να προστατευτείτε από τα Keylogger Τα Keylogger είναι επικίνδυνα και για να παραμείνετε προστατευμένοι πρέπει να διατηρείτε πάντα ενημερωμένο το λογισμικό, να το χρησιμοποιείτε στα πληκτρολόγια οθόνης και να ακολουθείτε όλα τα...

AutoHotKey

Το AutoHotkey είναι μια δωρεάν , ανοιχτού κώδικα προσαρμοσμένη γλώσσα δέσμης ενεργειών για τα Microsoft Windows, που αρχικά στόχευε στην παροχή εύκολων συντομεύσεων ή πλήκτρων πρόσβασης πληκτρολογίου, γρήγορης δημιουργίας μακροεντολών και αυτοματισμού λογισμικού που επιτρέπει στους χρήστες των περισσότερων επιπέδων δεξιοτήτων υπολογιστή να αυτοματοποιούν επαναλαμβανόμενες εργασίες σε οποιαδήποτε εφαρμογή των Windows. Από τη Wikipedia, την ελεύθερη εγκυκλοπαίδεια.

Φόρμες Google

Το Google Forms είναι μία από τις εφαρμογές που αποτελούν τη διαδικτυακή σουίτα εφαρμογών γραφείου της Google. Χρησιμοποιείται για τη δημιουργία μιας έρευνας ή ερωτηματολογίου που στη συνέχεια αποστέλλεται στην επιθυμητή ομάδα ατόμων και οι απαντήσεις τους καταγράφονται σε ένα μόνο υπολογιστικό φύλλο για αναλυτικούς σκοπούς.

Kaspersky

Το Kaspersky είναι ένα γνωστό ρωσικό εμπορικό σήμα προστασίας από ιούς, το οποίο έχει αναπτύξει προϊόντα προστασίας από ιούς, ασφάλεια Διαδικτύου, διαχείριση κωδικών πρόσβασης, ασφάλεια τελικού σημείου και άλλα προϊόντα και υπηρεσίες ασφάλειας στον κυβερνοχώρο.

Εκεί, όπως λέγεται μερικές φορές «Τα πάρα πολλά καλά πράγματα μπορούν να κάνουν ένα μεγάλο κακό».

Συνταγή Fauxpersky

Το Fauxpersky αναπτύχθηκε χρησιμοποιώντας εργαλεία AutoHotKey (AHK) τα οποία διαβάζουν όλα τα κείμενα που εισάγει ο χρήστης από τα Windows και στέλνουν πληκτρολογήσεις σε άλλες εφαρμογές. Η μέθοδος που χρησιμοποιείται από το AHK keylogger είναι αρκετά απλή. εξαπλώνεται μέσω της τεχνικής αυτοαντιγραφής. Μόλις εκτελεστεί στο σύστημα, ξεκινά την αποθήκευση όλων των πληροφοριών που πληκτρολογεί ο χρήστης σε ένα αρχείο κειμένου που φέρει το όνομα του αντίστοιχου παραθύρου. Λειτουργεί κάτω από μια μάσκα Kaspersky Internet Security και στέλνει όλες τις πληροφορίες που καταγράφονται από τα πλήκτρα σε έναν χάκερ μέσω των Φόρμων Google. Η μέθοδος εξαγωγής δεδομένων είναι ασυνήθιστη: οι εισβολείς τα συγκεντρώνουν από μολυσμένα συστήματα χρησιμοποιώντας φόρμες Google χωρίς να προκαλούν αμφιβολίες στις λύσεις ασφαλείας που αναλύουν την κυκλοφορία, καθώς οι κρυπτογραφημένες συνδέσεις με το docs.google.com δεν φαίνονται ύποπτες. Μόλις σταλεί η λίστα με τα πλήκτρα, διαγράφεται από τον σκληρό δίσκο για να αποτραπεί η ανίχνευση. Ωστόσο, μόλις το σύστημα μολυνθεί, το κακόβουλο λογισμικό εκκινείται ξανά μετά την επανεκκίνηση του υπολογιστή. Δημιουργεί επίσης μια συντόμευση για τον εαυτό του στον κατάλογο εκκίνησης του μενού Έναρξη.

Fauxpersky: Modus Operandi

Η διαδικασία της αρχικής μόλυνσης δεν έχει ακόμη προσδιοριστεί, αλλά αφού το κακόβουλο λογισμικό θέσει σε κίνδυνο ένα σύστημα, σαρώνει όλες τις αφαιρούμενες μονάδες δίσκου που είναι συνδεδεμένες στον υπολογιστή και αναπαράγονται σε αυτές. Δημιουργεί έναν φάκελο στο %APPDATA% με το όνομα " Kaspersky Internet Security 2017 " με έξι αρχεία, τέσσερα από τα οποία είναι εκτελέσιμα και έχουν το ίδιο όνομα με το αρχείο συστήματος των Windows: Explorers.exe, Spoolsvc.exe, Svhost.exe και Taskhosts.exe. Τα άλλα δύο αρχεία είναι ένα αρχείο εικόνας με λογότυπο προστασίας από ιούς Kaspersky και ένα άλλο αρχείο που είναι αρχείο κειμένου με το όνομα «readme.txt». Τα τέσσερα εκτελέσιμα αρχεία εκτελούν διαφορετικές λειτουργίες:

• Explorers.exe – εξαπλώνεται από κεντρικές μηχανές σε συνδεδεμένες εξωτερικές μονάδες μέσω αντιγραφής αρχείων.
• Spoolsvc.exe – Αλλάζει τις τιμές μητρώου του συστήματος που με τη σειρά του εμποδίζει τον χρήστη να δει όλα τα κρυφά και τα αρχεία συστήματος.
• Το Svhost.exe- χρησιμοποιεί λειτουργίες AHK για να παρακολουθεί το τρέχον ενεργό παράθυρο και να καταγράφει τυχόν πατήματα πλήκτρων που έχουν εισαχθεί σε αυτό το παράθυρο.
• Taskhosts.exe – χρησιμοποιείται για την τελική μεταφόρτωση δεδομένων.

Όλα τα δεδομένα που καταγράφονται στο αρχείο κειμένου θα σταλούν στο γραμματοκιβώτιο του εισβολέα μέσω των φορμών Google και θα διαγραφούν από το σύστημα. Επιπλέον, τα δεδομένα που μεταδίδονται μέσω του Google Forms έχουν ήδη κρυπτογραφηθεί, γεγονός που κάνει τις μεταφορτώσεις δεδομένων της Fauxpersky να μην είναι ύποπτες σε διάφορες λύσεις παρακολούθησης της κυκλοφορίας.

Η εταιρεία κυβερνοασφάλειας «Cybereason» πιστώνεται ότι ανακάλυψε αυτό το κακόβουλο λογισμικό και παρόλο που δεν αναφέρει πόσοι υπολογιστές έχουν μολυνθεί, αλλά δεδομένου ότι η ευφυΐα του Fauxpersky διαδίδεται μέσω της παλιομοδίτικης μεθόδου κοινής χρήσης μονάδων USB. Μόλις ειδοποιήθηκε η Google, απάντησε αμέσως αφαιρώντας τη φόρμα από τους διακομιστές της μέσα σε μία ώρα.

Μετακίνηση

Εάν πιστεύετε ότι ο υπολογιστής σας έχει επίσης μολυνθεί, απλώς μεταβείτε στον φάκελο «AppData» και εισαγάγετε τον φάκελο «Περιαγωγή» και διαγράψτε τα αρχεία που σχετίζονται με το Kaspersky Internet Security 2017 και τον ίδιο τον κατάλογο από τον κατάλογο εκκίνησης που βρίσκεται στο μενού έναρξης. Συνιστάται επίσης η τροποποίηση των κωδικών πρόσβασης των υπηρεσιών, για την αποφυγή μη εξουσιοδοτημένης χρήσης των λογαριασμών.

Ακόμη και με το πιο πρόσφατο antimalware, μπορείτε να αγοράσετε χρήματα, θα ήταν λάθος να πιστεύουμε ότι τα προσωπικά μας στοιχεία που είναι αποθηκευμένα στους υπολογιστές μας είναι ασφαλή, επειδή τα κακόβουλα προγράμματα δημιουργούνται συχνά από ακτιβιστές κοινωνικής μηχανικής σε όλο τον κόσμο. Οι προγραμματιστές antimalware μπορούν να συνεχίσουν να ενημερώνουν τους ορισμούς του κακόβουλου λογισμικού, αλλά δεν είναι πάντα 100% δυνατός ο εντοπισμός του ανώμαλου λογισμικού που δημιουργήθηκε από τα λαμπρά μυαλά που έχουν παραστρατήσει. Ο καλύτερος τρόπος για να αποτρέψετε μια διείσδυση είναι να επισκέπτεστε μόνο αξιόπιστους ιστότοπους και να δίνετε ιδιαίτερη προσοχή όταν χρησιμοποιείτε εξωτερικές μονάδες δίσκου.