Fauxpersky: En ny skadelig programvare utgitt i 2018

Digitalisering har forbedret levestandarden vår betraktelig, noe som gjør ting enklere, raskere og pålitelig. Men å vedlikeholde alle journaler på datamaskinen og behandle via internett er som en mynt med to forskjellige sider. Med utallige fordeler er det noen få bemerkelsesverdige ulemper, spesielt hackere og deres verktøy kjenner som skadelig programvare. Det nyeste tilskuddet til denne store skadevarefamilien er Fauxpersky. Selv om det rimer på det berømte russiske antiviruset "Kaspersky", men det er der deres veier skiller seg. Den sprer seg gjennom USB-stasjoner, infiserer brukerens datamaskin, fanger opp alle tastetrykk som en tastelogger og sender den til angriperens postboks via GoogleSkjemaer. Logikken bak dette skadevarenavnet er enkel. Alt laget i imitasjon vil bli kjent som Faux, og imitasjon av Kaspersky vil derfor være Faux - Kaspersky eller Fauxpersky.

For å forstå utførelsesprosessen av denne skadelige programvaren, la oss først sjekke ut de forskjellige komponentene:

Nøkkellogger

Google definerer et dataprogram som registrerer hvert tastetrykk gjort av en datamaskinbruker, spesielt for å få uredelig tilgang til passord og annen konfidensiell informasjon. Men når den ble designet i utgangspunktet, tjente Keylogger et formål for foreldre som kunne overvåke barnas nettaktivitet og til organisasjoner der arbeidsgivere kunne avgjøre om de ansatte jobbet med de ønskede oppgavene som ble tildelt dem.

Les også:-

Slik beskytter du deg selv mot keyloggere Keyloggere er farlige og for å holde seg beskyttet må man alltid holde programvaren oppdatert, bruke skjermtastaturer og følge alle...

AutoHotKey

AutoHotkey er et gratis , åpen kildekode tilpasset skriptspråk for Microsoft Windows, opprinnelig rettet mot å gi enkle hurtigtaster eller hurtigtaster, rask makrooppretting og programvareautomatisering som lar brukere av de fleste nivåer av dataferdigheter automatisere repeterende oppgaver i alle Windows-applikasjoner. Fra Wikipedia, det frie leksikonet.

Google Skjemaer

Google Forms er en av appene som utgjør Googles nettbaserte kontorapppakke. Den brukes til å lage en spørreundersøkelse eller spørreskjema som deretter sendes til ønsket gruppe mennesker og deres svar registreres i et enkelt regneark for analytiske formål.

Kaspersky

Kaspersky er et velkjent russisk antivirusvaremerke som har utviklet antivirus, internettsikkerhet, passordadministrasjon, endepunktsikkerhet og andre cybersikkerhetsprodukter og -tjenester.

Der, som det noen ganger sies "For mange gode ting kan gjøre en stor dårlig ting".

Fauxpersky oppskrift

Fauxpersky ble utviklet ved hjelp av AutoHotKey (AHK) verktøy som leser alle tekster som er skrevet inn av brukeren fra Windows og sender tastetrykk til andre applikasjoner. Metoden som brukes av AHK keylogger er ganske grei; det sprer seg gjennom selvreplikeringsteknikk. Når den er utført på systemet, begynner den å lagre all informasjon som er skrevet av brukeren i en tekstfil som bærer det respektive vinduets navn. Den opererer under en maske av Kaspersky Internet Security og sender all informasjon registrert fra tastetrykkene til en hacker gjennom Google Forms. Metoden for datautvinning er uvanlig: angripere samler dem fra infiserte systemer ved hjelp av Google-skjemaer uten å skape tvil i sikkerhetsløsningene som analyserer trafikk, ettersom krypterte forbindelser med docs.google.com ikke ser mistenkelige ut. Når listen over tastetrykk er sendt, den slettes fra harddisken for å forhindre gjenkjenning. Men når systemet er infisert, blir skadelig programvare startet opp igjen etter at datamaskinen er startet på nytt. Den lager også en snarvei for seg selv i oppstartskatalogen til Start-menyen.

Fauxpersky: Modus Operandi

Prosessen med den første infeksjonen er ikke bestemt ennå, men etter at skadelig programvare kompromitterer et system, skanner den alle de flyttbare stasjonene som er koblet til datamaskinen og replikerer seg selv i dem. Den oppretter en mappe i %APPDATA% ved navn " Kaspersky Internet Security 2017 " med seks filer, hvorav fire er kjørbare og har samme navn som Windows-systemfilen: Explorers.exe, Spoolsvc.exe, Svhost.exe og Taskhosts.exe. De to andre filene er en bildefil med Kaspersky antiviruslogo og en annen fil som er en tekstfil med navnet "readme.txt". De fire kjørbare filene utfører forskjellige funksjoner:

• Explorers.exe – spres fra vertsmaskiner til tilkoblede eksterne stasjoner gjennom filduplisering.
• Spoolsvc.exe – Det endrer registerverdiene til systemet som igjen hindrer brukeren i å se alle de skjulte filene og systemfilene.
• Svhost.exe- bruker AHK-funksjoner for å overvåke det aktive vinduet og logge eventuelle tastetrykk som er lagt inn i det vinduet.
• Taskhosts.exe – brukes for den endelige dataopplastingen .

Alle data som er registrert i tekstfilen vil bli sendt til angriperens postkasse via Google-skjemaer og slettes fra systemet. I tillegg er dataene som overføres via Google Forms allerede kryptert, noe som gjør at Fauxperskys dataopplastinger ikke ser ut til å være mistenkelige i ulike trafikkovervåkingsløsninger.

Cybersikkerhetsselskapet "Cybereason" er kreditert for å oppdage denne skadelige programvaren, og selv om det ikke indikerer hvor mange datamaskiner som har blitt infisert, men gitt at Fauxperskys intelligens er spredt gjennom den gammeldagse metoden for å dele USB-stasjoner. Når Google ble varslet, svarte den umiddelbart ved å ta ned skjemaet fra sine servere innen en time.

Fjerning

Hvis du føler at datamaskinen din også er infisert, kan du bare gå inn på mappen 'AppData' og gå inn i 'Roaming'-mappen og slette filene relatert til Kaspersky Internet Security 2017 og selve katalogen fra oppstartskatalogen som ligger i startmenyen. Det er også tilrådelig å endre passordene til tjenestene for å unngå uautorisert bruk av kontoene.

Selv med den nyeste antimalware, kan du kjøpe penger, ville det være feil å tro at vår personlige informasjon som er lagret på datamaskinene våre er trygge fordi skadevare ofte blir opprettet av sosialingeniøraktivister over hele verden. Antimalware-utviklerne kan fortsette å oppdatere definisjonene av skadelig programvare, men det er ikke alltid 100 % mulig å oppdage den uregelmessige programvaren skapt av de briljante hodene som har kommet på avveie. Den beste måten å forhindre infiltrasjon på er kun å besøke pålitelige nettsteder og være ekstrem forsiktig når du bruker eksterne stasjoner.