Fauxpersky: Novi zlonamjerni softver objavljen 2018

Digitalizacija je značajno poboljšala naš životni standard, čineći stvari lakšim, bržim i pouzdanim. Ali onda je vođenje svih zapisa na računalu i obrada putem interneta poput novčića s dvije različite strane. Uz bezbrojne prednosti postoji nekoliko značajnih nedostataka, posebno hakeri i njihovi alati poznati kao zlonamjerni softver. Najnoviji dodatak ovoj velikoj obitelji zlonamjernih programa je Fauxpersky. Iako se rimuje s poznatim ruskim antivirusnim programom 'Kaspersky', ali tu im se putevi razilaze. Fauxpersky se prerušava u Kaspersky i dizajniran je da ukrade korisničke podatke i pošalje ih hakerima putem interneta. Širi se preko USB diskova, zarazi računalo korisnika, hvata sve pritiske tipki poput keyloggera i na kraju ih šalje u napadačev poštanski sandučić putem GoogleaObrasci. Logika iza naziva ovog zlonamjernog softvera je jednostavna. Sve što je napravljeno u imitaciji bilo bi poznato kao Faux, stoga bi imitacija Kasperskyja bila Faux – Kaspersky ili Fauxpersky.

Da bismo razumjeli proces izvršenja ovog zlonamjernog softvera, prvo provjerimo njegove različite komponente:

Key Logger

Google definira računalni program koji bilježi svaki pritisak na tipku od strane korisnika računala, posebno za dobivanje lažnog pristupa lozinkama i drugim povjerljivim informacijama. Međutim, kada je u početku osmišljen, Keylogger je služio roditeljima koji su mogli pratiti online aktivnosti svoje djece i organizacijama u kojima su poslodavci mogli utvrditi rade li zaposlenici na željenim zadacima koji su im dodijeljeni.

Pročitajte također: -

Kako se zaštititi od Keyloggera Keyloggeri su opasni i da biste ostali zaštićeni morate uvijek ažurirati softver, koristiti zaslonske tipkovnice i pratiti sve...

AutoHotKey

AutoHotkey je besplatni , otvorenog koda prilagođeni skriptni jezik za Microsoft Windows, koji je u početku imao za cilj pružanje jednostavnih tipkovničkih prečaca ili prečaca, brzu izradu makronaredbi i automatizaciju softvera koja korisnicima s većinom razina računalne vještine omogućuje automatizaciju zadataka koji se ponavljaju u bilo kojoj Windows aplikaciji. Iz Wikipedije, slobodne enciklopedije.

Google obrasci

Google Forms jedna je od aplikacija koje čine Googleov paket mrežnih uredskih aplikacija. Koristi se za izradu ankete ili upitnika koji se zatim šalje željenoj skupini ljudi, a njihovi se odgovori bilježe u jednu proračunsku tablicu u analitičke svrhe.

Kaspersky

Kaspersky je poznati ruski antivirusni zaštitni znak koji je razvio antivirus, internetsku sigurnost, upravljanje lozinkama, sigurnost krajnjih točaka i druge proizvode i usluge za kibernetičku sigurnost.

Eto, kako se ponekad kaže “Previše dobrih stvari može napraviti veliku lošu stvar”.

Fauxpersky recept

Fauxpersky je razvijen pomoću alata AutoHotKey (AHK) koji čitaju sve tekstove koje je korisnik unio iz Windowsa i šalju tipke drugim aplikacijama. Metoda koju koristi AHK keylogger prilično je jednostavna; širi se tehnikom samoreplikacije. Nakon što se izvrši na sustavu, pokreće pohranjivanje svih informacija koje je korisnik unio u tekstualnu datoteku koja nosi naziv odgovarajućeg prozora. Djeluje pod maskom Kaspersky Internet Security i šalje sve informacije snimljene od pritisaka na tipke hakeru putem Google Forma. Metoda ekstrakcije podataka je neuobičajena: napadači ih prikupljaju iz zaraženih sustava koristeći Google obrasce bez izazivanja sumnje u sigurnosnim rješenjima koja analiziraju promet, jer šifrirane veze s docs.google.com ne izgledaju sumnjivo. Nakon što je poslan popis pritisaka na tipke, briše se s tvrdog diska kako bi se spriječilo otkrivanje. Međutim, nakon što je sustav zaražen, zlonamjerni softver se ponovno pokreće nakon ponovnog pokretanja računala. Također stvara prečac za sebe u početnom direktoriju izbornika Start.

Fauxpersky: Modus Operandi

Proces početne infekcije još nije određen, ali nakon što zlonamjerni softver kompromituje sustav, skenira sve izmjenjive diskove spojene na računalo i replicira se u njima. Stvara mapu u %APPDATA% pod nazivom “ Kaspersky Internet Security 2017 ” sa šest datoteka, od kojih su četiri izvršne i imaju isti naziv kao Windows sistemska datoteka: Explorers.exe, Spoolsvc.exe, Svhost.exe i Taskhosts.exe. Druge dvije datoteke su slikovna datoteka s Kaspersky antivirusnim logotipom i druga datoteka koja je tekstualna datoteka s nazivom 'readme.txt'. Četiri izvršne datoteke imaju različite funkcije:

• Explorers.exe – širi se s računala glavnog računala na povezane vanjske pogone putem dupliciranja datoteka.
• Spoolsvc.exe – mijenja vrijednosti registra sustava što zauzvrat sprječava korisnika da pregleda sve skrivene i sistemske datoteke.
• Svhost.exe- koristi AHK funkcije za praćenje trenutno aktivnog prozora i zapisivanje svih pritisaka tipki unesenih u taj prozor.
• Taskhosts.exe – koristi se za konačni prijenos podataka.

Svi podaci zabilježeni u tekstualnoj datoteci bit će poslani u poštanski sandučić napadača putem Google obrazaca i bit će izbrisani iz sustava. Osim toga, podaci koji se prenose putem Google Forma već su šifrirani, zbog čega se Fauxperskyjev prijenos podataka čini nesumnjivim u raznim rješenjima za praćenje prometa.

Tvrtka za kibernetičku sigurnost 'Cybereason' zaslužna je za otkrivanje ovog zlonamjernog softvera i iako ne ukazuje koliko je računala zaraženo, ali s obzirom na to da se Fauxperskyjeva inteligencija širi staromodnom metodom dijeljenja USB diskova. Nakon što je Google dobio obavijest, odmah je odgovorio uklanjanjem obrasca sa svojih poslužitelja u roku od sat vremena.

Uklanjanje

Ako smatrate da je i vaše računalo zaraženo, jednostavno pristupite mapi 'AppData' i uđite u mapu 'Roaming' i izbrišite datoteke povezane s Kaspersky Internet Security 2017 i sam direktorij iz direktorija za pokretanje koji se nalazi u početnom izborniku. Također je preporučljivo izmijeniti lozinke usluga, kako biste izbjegli neovlašteno korištenje računa.

Čak i uz najnoviji antimalware, novac se može kupiti, bilo bi pogrešno misliti da su naši osobni podaci pohranjeni na našim računalima sigurni jer zlonamjerni softver često stvaraju aktivisti društvenog inženjeringa diljem svijeta. Programeri antimalwarea mogu nastaviti ažurirati definicije zlonamjernog softvera, ali nije uvijek 100% moguće otkriti anomalan softver koji su stvorili sjajni umovi koji su zalutali. Najbolji način za sprječavanje infiltracije je posjećivanje samo pouzdanih web-mjesta i paziti na krajnji oprez pri korištenju vanjskih pogona.