Fauxpersky: nauja kenkėjiška programa, išleista 2018 m

Skaitmeninimas žymiai pagerino mūsų gyvenimo lygį, todėl viskas tapo lengviau, greičiau ir patikimiau. Bet tada visų įrašų tvarkymas kompiuteryje ir apdorojimas internetu yra tarsi moneta, turinti dvi skirtingas puses. Su daugybe privalumų yra keletas pastebimų trūkumų, ypač įsilaužėliai ir jų įrankiai, žinomi kaip kenkėjiškos programos. Naujausias šios didelės kenkėjiškų programų šeimos papildymas yra Fauxpersky. Nors ji rimuojasi su garsiąja rusiška antivirusine „Kaspersky“, bet čia jų keliai išsiskiria.. Fauxpersky persirengia „Kaspersky“ vardu ir yra skirtas vogti vartotojo informaciją ir siųsti ją įsilaužėliams per internetą. Jis plinta per USB diskus, užkrėsti vartotojo kompiuterį, užfiksuoti visas klavišų kaip keylogger ir galiausiai siunčia jį užpuolikas pašto dėžutę per GoogleFormos. Šios kenkėjiškos programos pavadinimo logika yra paprasta. Viskas, kas pagaminta imituojant, būtų žinoma kaip „Faux“, taigi „Kaspersky“ imitacija būtų „Faux“ – „Kaspersky“ arba „Fauxpersky“.

Norėdami suprasti šios kenkėjiškos programos vykdymo procesą, pirmiausia patikrinkite įvairius jos komponentus:

Raktų registratorius

„Google“ apibrėžia kompiuterinę programą, kuri įrašo kiekvieną kompiuterio vartotojo klavišo paspaudimą, ypač siekdama apgaulingos prieigos prie slaptažodžių ir kitos konfidencialios informacijos. Tačiau iš pradžių sukurta „Keylogger“ buvo skirta tėvams, kurie galėjo stebėti savo vaikų veiklą internete, ir organizacijoms, kuriose darbdaviai galėjo nustatyti, ar darbuotojai atlieka norimas jiems paskirtas užduotis.

Taip pat skaitykite: -

Kaip apsisaugoti nuo klavišų fiksatorių Klavišų registratoriai yra pavojingi ir norint išlikti apsaugoti, reikia nuolat atnaujinti programinę įrangą, naudoti ekrano klaviatūras ir sekti viską...

AutoHotKey

„AutoHotkey“ yra nemokama atvirojo kodo pritaikyta scenarijų kalba, skirta „Microsoft Windows“, iš pradžių skirta teikti paprastus sparčiuosius klavišus arba sparčiuosius klavišus, greitą makrokomandų kūrimą ir programinės įrangos automatizavimą, leidžiantį daugumos kompiuterių įgūdžių naudotojams automatizuoti pasikartojančias užduotis bet kurioje „Windows“ programoje. Iš Vikipedijos, laisvosios enciklopedijos.

„Google“ formos

„Google Forms“ yra viena iš programų, sudarančių „Google“ internetinį biuro programų rinkinį. Jis naudojamas kuriant apklausą ar klausimyną, kuris vėliau siunčiamas norimai žmonių grupei, o jų atsakymai įrašomi į vieną skaičiuoklę analizės tikslais.

Kaspersky

„Kaspersky“ yra gerai žinomas Rusijos antivirusinis prekės ženklas, sukūręs antivirusinę, interneto apsaugą, slaptažodžių valdymą, galinio taško saugumą ir kitus kibernetinio saugumo produktus bei paslaugas.

Ten, kaip kartais sakoma: „Per daug gerų dalykų gali padaryti didelį blogą dalyką“.

Fauxpersky receptas

„Fauxpersky“ buvo sukurta naudojant „AutoHotKey“ (AHK) įrankius, kurie nuskaito visus vartotojo įvestus tekstus iš „Windows“ ir siunčia klavišų paspaudimus kitoms programoms. AHK keylogger naudojamas metodas yra gana paprastas; jis plinta savaiminio replikacijos būdu. Įvykdžius sistemoje, ji inicijuoja visos vartotojo įvestos informacijos saugojimą į tekstinį failą su atitinkamo lango pavadinimu. Jis veikia po „Kaspersky Internet Security“ kauke ir siunčia visą informaciją, įrašytą nuo klavišų paspaudimų, įsilaužėliui per „Google“ formas. Duomenų išgavimo metodas yra neįprastas: užpuolikai juos renka iš užkrėstų sistemų naudodami „Google“ formas, nesukeldami jokių abejonių srautą analizuojančiuose saugos sprendimuose, nes šifruoti ryšiai su docs.google.com neatrodo įtartini. Kai bus išsiųstas klavišų paspaudimų sąrašas, jis ištrinamas iš standžiojo disko, kad būtų išvengta aptikimo. Tačiau, kai sistema yra užkrėsta, kenkėjiška programa vėl paleidžiama iš naujo paleidus kompiuterį. Jis taip pat sukuria sau nuorodą meniu Pradėti paleisties kataloge.

Fauxpersky: Modus Operandi

Pradinio užkrėtimo procesas dar nenustatytas, tačiau kenkėjiškai programai pažeidžiant sistemą, ji nuskaito visus prie kompiuterio prijungtus išimamus diskus ir juose pasikartoja. Jis sukuria aplanką %APPDATA% pavadinimu „ Kaspersky Internet Security 2017 “ su šešiais failais, iš kurių keturi yra vykdomieji ir turi tokį patį pavadinimą kaip „Windows“ sistemos failas: Explorers.exe, Spoolsvc.exe, Svhost.exe ir Taskhosts.exe. Kiti du failai yra paveikslėlio failas su Kaspersky antivirus logotipu ir kitas failas, kuris yra tekstinis failas pavadinimu „readme.txt“. Keturi vykdomieji failai atlieka skirtingas funkcijas:

• Explorers.exe – failų dubliavimo būdu plinta iš pagrindinio kompiuterio į prijungtus išorinius diskus.
• Spoolsvc.exe – pakeičia sistemos registro reikšmes, o tai savo ruožtu neleidžia vartotojui peržiūrėti visų paslėptų ir sistemos failų.
• Svhost.exe – naudoja AHK funkcijas, kad galėtų stebėti šiuo metu aktyvų langą ir užregistruoti visus tame lange įvestus klavišų paspaudimus.
• Taskhosts.exe – naudojamas galutiniam duomenų įkėlimui.

Visi tekstiniame faile įrašyti duomenys bus siunčiami į užpuoliko pašto dėžutę per Google formas ir bus ištrinti iš sistemos. Be to, per „Google Forms“ perduodami duomenys jau buvo užšifruoti, todėl „Fauxpersky“ duomenų įkėlimai įvairiuose eismo stebėjimo sprendimuose neatrodo įtartini.

Kibernetinio saugumo kompanija „Cybereason“ yra pripažinta atradusi šią kenkėjišką programą ir nors ji nenurodo, kiek kompiuterių buvo užkrėsti, tačiau atsižvelgiant į tai, kad „Fauxpersky“ žvalgyba skleidžiama per senamadišką USB atmintinių dalijimosi metodą. Kai „Google“ buvo pranešta, ji nedelsdama atsakė per valandą pašalindama formą iš savo serverių.

Pašalinimas

Jei manote, kad jūsų kompiuteris taip pat užkrėstas, tiesiog eikite į aplanką „AppData“ ir įeikite į aplanką „Tarptinklinis ryšys“ ir ištrinkite su Kaspersky Internet Security 2017 susijusius failus bei patį katalogą iš paleisties katalogo, esančio pradžios meniu. Taip pat patartina keisti paslaugų slaptažodžius, kad būtų išvengta neteisėto paskyrų naudojimo.

Net naudojant naujausią antimalware, už pinigus galima nusipirkti, būtų neteisinga manyti, kad mūsų kompiuteriuose saugoma asmeninė informacija yra saugi, nes kenkėjiškas programas dažnai kuria socialinės inžinerijos aktyvistai visame pasaulyje. Apsaugos nuo kenkėjiškų programų kūrėjai gali nuolat atnaujinti kenkėjiškų programų apibrėžimus, tačiau ne visada 100% įmanoma aptikti klaidingą programinę įrangą, kurią sukūrė suklydę genialūs protai. Geriausias būdas apsisaugoti nuo įsiskverbimo yra apsilankyti tik patikimose svetainėse ir būti ypač atsargiems naudojant išorinius diskus.