Fauxpersky: Uusi haittaohjelma julkaistiin vuonna 2018

Digitalisaatio on parantanut elintasoamme huomattavasti tehden asioista helpompaa, nopeampaa ja luotettavampaa. Mutta sitten kaikkien tietueiden säilyttäminen tietokoneella ja käsittely Internetin kautta on kuin kolikko, jolla on kaksi erilaista puolta. Lukemattomilla eduilla on muutamia merkittäviä haittoja, erityisesti hakkerit ja heidän työkalunsa tunnetaan haittaohjelmina. Tämän suuren haittaohjelmaperheen uusin lisäys on Fauxpersky. Vaikka se riimii kuuluisan venäläisen Kaspersky-virustorjuntaohjelman kanssa, heidän tiensä eroavat. Fauxpersky naamioituu Kasperskyksi ja on suunniteltu varastamaan käyttäjätietoja ja lähettämään ne hakkereille Internetin kautta. Se leviää USB-asemien kautta tartuttaen käyttäjän tietokoneen, kaappaamalla kaikki näppäinpainallukset kuin näppäinloggeri ja lähettämällä sen lopulta hyökkääjän postilaatikkoon Googlen kautta.Lomakkeet. Tämän haittaohjelman nimen taustalla oleva logiikka on yksinkertainen. Mikä tahansa jäljitelmä tunnettaisiin nimellä Faux, joten Kasperskyn jäljitelmä olisi Faux – Kaspersky tai Fauxpersky.

Ymmärtääksemme tämän haittaohjelman suoritusprosessin, katsotaanpa ensin sen eri osia:

Key Logger

Google määrittelee tietokoneohjelman, joka tallentaa jokaisen tietokoneen käyttäjän tekemän näppäinpainalluksen, erityisesti salasanoihin ja muihin luottamuksellisiin tietoihin pääsemiseksi. Alun perin suunniteltu Keylogger palveli kuitenkin vanhempia, jotka pystyivät seuraamaan lastensa verkkotoimintaa, ja organisaatioille, joissa työnantajat saattoivat määrittää, työskentelevätkö työntekijät heille määrättyjen tehtävien parissa.

Lue myös:-

Kuinka suojautua näppäinloggereilta Keyloggerit ovat vaarallisia ja suojattuna pysyäksesi ohjelmistot on aina pidettävä ajan tasalla, käytettävä näytön näppäimistöjä ja seurata kaikkia...

AutoHotKey

AutoHotkey on ilmainen , avoimen lähdekoodin mukautettu komentosarjakieli Microsoft Windowsille, jonka tarkoituksena oli alun perin tarjota helppoja pikanäppäimiä tai pikanäppäimiä, nopeaa makrojen luontia ja ohjelmistojen automatisointia, jonka avulla useimmat tietokonetaidot omaavat käyttäjät voivat automatisoida toistuvia tehtäviä missä tahansa Windows-sovelluksessa. Wikipediasta, vapaasta tietosanakirjasta.

Google Forms

Google Forms on yksi sovelluksista, jotka muodostavat Googlen online-toimistosovelluspaketin. Sitä käytetään kyselyn tai kyselyn luomiseen, joka lähetetään sitten halutulle ihmisryhmälle ja heidän vastauksensa tallennetaan yhdelle laskentataulukolle analyyttisiä tarkoituksia varten.

Kaspersky

Kaspersky on tunnettu venäläinen virustorjuntatavaramerkki, joka on kehittänyt virustorjuntaa, Internet-tietoturvaa, salasanojen hallintaa, päätepisteiden turvallisuutta ja muita kyberturvallisuustuotteita ja -palveluita.

Siellä, kuten joskus sanotaan "Liian monet hyvät asiat voivat tehdä suuren huonon asian".

Fauxpersky Resepti

Fauxpersky kehitettiin AutoHotKey (AHK) -työkaluilla, jotka lukevat kaikki käyttäjän kirjoittamat tekstit Windowsista ja lähettävät näppäinpainalluksia muihin sovelluksiin. AHK keyloggerin käyttämä menetelmä on melko yksinkertainen; se leviää itsereplikointitekniikan kautta. Kun se on suoritettu järjestelmässä, se aloittaa kaikkien käyttäjän kirjoittamien tietojen tallentamisen tekstitiedostoon, jossa on vastaava ikkunan nimi. Se toimii Kaspersky Internet Securityn suojana ja lähettää kaikki näppäinpainalluksista tallennetut tiedot hakkereille Google Formsin kautta. Tietojen poimintamenetelmä on harvinainen: hyökkääjät keräävät ne tartunnan saaneista järjestelmistä Google-lomakkeilla aiheuttamatta epäilyksiä liikennettä analysoivissa tietoturvaratkaisuissa, koska salatut yhteydet docs.google.com-sivustoon eivät näytä epäilyttävältä. Kun näppäinpainallusten luettelo on lähetetty, se poistetaan kiintolevyltä havaitsemisen estämiseksi. Kuitenkin, kun järjestelmä on saanut tartunnan, haittaohjelma käynnistyy uudelleen tietokoneen uudelleenkäynnistyksen jälkeen. Se myös luo itselleen pikakuvakkeen Käynnistä-valikon käynnistyshakemistoon.

Fauxpersky: Modus Operandi

Alkutartunnan prosessia ei ole vielä määritetty, mutta kun haittaohjelma on tunkeutunut järjestelmään, se tarkistaa kaikki tietokoneeseen liitetyt irrotettavat asemat ja replikoi itsensä niissä. Se luo %APPDATA%:iin kansion nimeltä " Kaspersky Internet Security 2017 ", jossa on kuusi tiedostoa, joista neljä on suoritettavia ja niillä on sama nimi kuin Windows-järjestelmätiedostolla: Explorers.exe, Spoolsvc.exe, Svhost.exe ja Taskhosts.exe. Kaksi muuta tiedostoa ovat kuvatiedosto, jossa on Kaspersky antivirus -logo, ja toinen tiedosto, joka on tekstitiedosto, jonka nimi on "readme.txt". Neljällä suoritettavalla tiedostolla on erilaisia ​​toimintoja:

• Explorers.exe – leviää isäntäkoneista liitettyihin ulkoisiin asemiin tiedostojen monistamisen kautta.
• Spoolsvc.exe – Se muuttaa järjestelmän rekisteriarvoja, mikä puolestaan ​​estää käyttäjää katselemasta kaikkia piilotettuja ja järjestelmätiedostoja.
• Svhost.exe- käyttää AHK-toimintoja valvoakseen tällä hetkellä aktiivista ikkunaa ja kirjatakseen kaikki kyseiseen ikkunaan annetut näppäinpainallukset.
• Taskhosts.exe – käytetään lopulliseen tietojen lataamiseen.

Kaikki tekstitiedostoon tallennetut tiedot lähetetään Google-lomakkeiden kautta hyökkääjän postilaatikkoon ja poistetaan järjestelmästä. Lisäksi Google Formsin kautta välitettävät tiedot on jo salattu, minkä vuoksi Fauxperskyn tiedonsiirrot eivät näytä olevan epäilyttäviä erilaisissa liikenteenvalvontaratkaisuissa.

Kyberturvallisuusyhtiö 'Cybereason' tunnustetaan tämän haittaohjelman löytämisestä, ja vaikka se ei osoita kuinka monta tietokonetta on saanut tartunnan, mutta koska Fauxperskyn älykkyys leviää vanhanaikaisen USB-asemien jakamismenetelmän kautta. Kun Googlelle oli ilmoitettu, se vastasi välittömästi poistamalla lomakkeen palvelimiltaan tunnin sisällä.

Poistaminen

Jos sinusta tuntuu, että myös tietokoneesi on saanut tartunnan, avaa vain kansio "AppData" ja siirry "Roaming"-kansioon ja poista Kaspersky Internet Security 2017:een liittyvät tiedostot ja itse hakemisto aloitusvalikon käynnistyshakemistosta. Palveluiden salasanoja kannattaa myös muuttaa, jotta vältetään tilien luvaton käyttö.

Jopa uusimmilla haittaohjelmien torjunta-aineilla, rahalla saa, olisi väärin ajatella, että tietokoneillemme tallennetut henkilökohtaiset tietomme ovat turvassa, koska sosiaalisen manipuloinnin aktivistit luovat usein haittaohjelmia kaikkialla maailmassa. Haittaohjelmien torjuntakehittäjät voivat jatkuvasti päivittää haittaohjelmien määritelmiä, mutta aina ei ole 100 % mahdollista havaita harhaan menneiden loistavien mielien luomia poikkeavia ohjelmistoja. Paras tapa estää tunkeutuminen on vierailla vain luotetuilla verkkosivustoilla ja noudattaa äärimmäistä varovaisuutta käyttäessäsi ulkoisia asemia.