Fauxpersky: 2018-ban megjelent új rosszindulatú program

A digitalizáció jelentősen javította életszínvonalunkat, egyszerűbbé, gyorsabbá és megbízhatóbbá tette a dolgokat. De az összes nyilvántartás számítógépen való megőrzése és az interneten keresztüli feldolgozás olyan, mint egy érme, amelynek két különböző oldala van. A számtalan előnynek van néhány figyelemre méltó hátránya, különösen a hackerek és eszközeik, amelyeket rosszindulatú programokként ismernek. Ennek a nagy kártevő-családnak a legújabb tagja a Fauxpersky. Bár rímel a híres orosz Kaspersky vírusirtóra, de itt elváltak útjaik. A Fauxpersky Kaspersky-nek álcázza magát, és célja, hogy ellopja a felhasználói információkat és elküldje azokat hackereknek az interneten keresztül. USB-meghajtókon keresztül terjed, megfertőzve a felhasználó számítógépét, rögzíti az összes billentyűleütést, mint egy keylogger, és végül elküldi a támadó postafiókjába a Google- n keresztül.Űrlapok. A rosszindulatú program nevének logikája egyszerű. Bármi, ami utánzattal készült, Faux néven ismert, ezért a Kaspersky utánzata Faux – Kaspersky vagy Fauxpersky.

A rosszindulatú program végrehajtási folyamatának megértéséhez először nézzük meg annak különböző összetevőit:

Billentyűzetfigyelő

A Google definiál egy számítógépes programot, amely rögzíti a számítógép-felhasználó minden billentyűleütését, különösen azért, hogy csalárd módon hozzáférjen jelszavakhoz és egyéb bizalmas információkhoz. A Keylogger eredeti tervezése során azonban a szülőket szolgálta, akik figyelemmel kísérhették gyermekeik online tevékenységét, valamint olyan szervezeteket, ahol a munkaadók meghatározhatták, hogy az alkalmazottak a rájuk bízott feladatokon dolgoznak-e.

Olvassa el még: -

Hogyan védekezzünk a billentyűzárak ellen A billentyűnaplózók veszélyesek, és a védelem megőrzéséhez mindig frissíteni kell a szoftvert, használni kell a képernyőn megjelenő billentyűzeteket, és követni kell minden...

AutoHotKey

Az AutoHotkey egy ingyenes , nyílt forráskódú egyéni szkriptnyelv a Microsoft Windows rendszerhez, amelynek eredeti célja az volt, hogy egyszerű billentyűparancsokat vagy gyorsbillentyűket, gyors makró-létrehozást és szoftverautomatizálást biztosítson, amely lehetővé teszi a legtöbb számítógépes tudású felhasználók számára, hogy automatizálják az ismétlődő feladatokat bármely Windows-alkalmazásban. A Wikipédiából, a szabad enciklopédiából.

Google Forms

A Google Forms egyike azon alkalmazásoknak, amelyek a Google online irodai alkalmazáscsomagját alkotják. Felmérés vagy kérdőív létrehozására szolgál, amelyet aztán elküldenek a kívánt embercsoportnak, és válaszaikat egyetlen táblázatban rögzítik elemzési célokra.

Kaspersky

A Kaspersky egy jól ismert orosz vírusvédelmi védjegy, amely víruskereső, internetbiztonsági, jelszókezelési, végpontbiztonsági és egyéb kiberbiztonsági termékeket és szolgáltatásokat fejlesztett ki.

Ott, ahogy néha mondják: „A túl sok jó dolog nagy rosszat is csinálhat”.

Fauxpersky recept

A Fauxpersky-t AutoHotKey (AHK) eszközökkel fejlesztették ki, amelyek beolvasnak minden, a felhasználó által a Windows rendszerből beírt szöveget, és billentyűleütéseket küldenek más alkalmazásoknak. Az AHK keylogger által használt módszer meglehetősen egyszerű; önreplikációs technikán keresztül terjed. A rendszeren való végrehajtás után megkezdi a felhasználó által beírt összes információ tárolását egy szöveges fájlban, amely a megfelelő ablak nevét viseli. A Kaspersky Internet Security maszkja alatt működik, és a billentyűleütésekből rögzített összes információt elküldi egy hackernek a Google Űrlapokon keresztül. Az adatkinyerési módszer nem gyakori: a támadók a Google űrlapjai segítségével gyűjtik össze azokat a fertőzött rendszerekről anélkül, hogy a forgalmat elemző biztonsági megoldásokon belül kétséget keltenének, mivel a docs.google.com oldallal titkosított kapcsolatok nem tűnnek gyanúsnak. Miután elküldte a billentyűleütések listáját, törli a merevlemezről az észlelés megakadályozása érdekében. Ha azonban a rendszer megfertőződött, a rosszindulatú program újraindul a számítógép újraindítása után. Ezenkívül létrehoz egy parancsikont magának a Start menü indítási könyvtárában.

Fauxpersky: Modus Operandi

A kezdeti fertőzés folyamata még nincs meghatározva, de miután a rosszindulatú program feltöri a rendszert, megvizsgálja a számítógéphez csatlakoztatott összes cserélhető meghajtót, és replikálja magát benne. Létrehoz egy mappát a %APPDATA% alkalmazásban „ Kaspersky Internet Security 2017 ” néven hat fájllal, amelyek közül négy végrehajtható, és megegyezik a Windows rendszerfájl nevével: Explorers.exe, Spoolsvc.exe, Svhost.exe és Taskhosts.exe. A másik két fájl egy Kaspersky antivirus logóval ellátott képfájl és egy másik fájl, amely egy „readme.txt” nevű szövegfájl. A négy végrehajtható fájl különböző funkciókat lát el:

• Explorers.exe – fájlmásolással terjed a gazdagépről a csatlakoztatott külső meghajtókra.
• Spoolsvc.exe – Megváltoztatja a rendszer beállításjegyzéki értékeit, ami viszont megakadályozza, hogy a felhasználó megtekintse az összes rejtett és rendszerfájlt.
• Az Svhost.exe – az AHK függvényeket használja az aktuálisan aktív ablak figyelésére, és naplózza az ablakba bevitt billentyűleütéseket.
• Taskhosts.exe – a végső adatfeltöltésre szolgál.

A szöveges fájlban rögzített összes adat a Google űrlapjain keresztül a támadó postafiókjába kerül, és törlődik a rendszerből. Ráadásul a Google Forms-en keresztül továbbított adatokat már titkosították, ami miatt a Fauxpersky adatfeltöltései nem tűnnek gyanúsnak a különböző forgalomfigyelő megoldásokban.

A „Cybereason” kiberbiztonsági cég nevéhez fűződik a kártevő felfedezése, és bár nem jelzi, hány számítógép fertőződött meg, de tekintettel arra, hogy a Fauxpersky intelligenciája az USB-meghajtók megosztásának régimódi módszerén keresztül terjed. Miután a Google értesítést kapott, azonnal reagált, és egy órán belül levette az űrlapot a szervereiről.

Eltávolítás

Ha úgy érzi, hogy a számítógépe is fertőzött, egyszerűen nyissa meg az „AppData” mappát, lépjen be a „Roaming” mappába, és törölje a Kaspersky Internet Security 2017-hez kapcsolódó fájlokat és magát a könyvtárat a start menüben található indítási könyvtárból. A szolgáltatások jelszavait is célszerű módosítani, hogy elkerüljük a fiókok illetéktelen használatát.

Még a legújabb kártevőirtókkal is helytelen lenne azt hinni, hogy a számítógépünkön tárolt személyes adataink biztonságban vannak, mivel a rosszindulatú programokat gyakran hoznak létre social engineering aktivisták szerte a világon. A kártevőirtó fejlesztők folyamatosan frissíthetik a rosszindulatú programok definícióit, de nem mindig lehet 100%-ban észlelni a téves elmék által létrehozott rendellenes szoftvereket. A beszivárgás megelőzésének legjobb módja, ha csak megbízható webhelyeket keres fel, és rendkívüli elővigyázatossággal jár el külső meghajtók használatakor.