Fauxpersky: Nova zlonamerna programska oprema, izdana leta 2018

Digitalizacija je močno izboljšala naš življenjski standard, kar je olajšalo, hitreje in zanesljivo. Toda potem je vzdrževanje vseh zapisov na računalniku in obdelava prek interneta kot kovanec z dvema različnima stranema. Z neštetimi prednostmi obstaja nekaj opaznih pomanjkljivosti, zlasti hekerji in njihova orodja, znana kot zlonamerna programska oprema. Najnovejši dodatek k tej veliki družini zlonamerne programske opreme je Fauxpersky. Čeprav se rimuje s slavnim ruskim protivirusnim programom 'Kaspersky', toda tam se njune poti razhajajo. Fauxpersky se preobleče v Kaspersky in je zasnovan tako, da krade podatke o uporabnikih in jih pošilja hekerjem prek interneta. Širi se prek USB-pogonov, okuži uporabnikov računalnik, zajame vse pritiske tipk kot keylogger in jih končno pošlje v napadalčev nabiralnik prek Googla.Obrazci. Logika za imenom te zlonamerne programske opreme je preprosta. Vse, kar je narejeno po imitaciji, bi bilo znano kot Faux, zato bi bila imitacija Kasperskyja Faux – Kaspersky ali Fauxpersky.

Da bi razumeli postopek izvajanja te zlonamerne programske opreme, si najprej poglejmo njene različne komponente:

Key Logger

Google opredeljuje računalniški program, ki beleži vsak pritisk na tipko uporabnika računalnika, zlasti za pridobitev lažnega dostopa do gesel in drugih zaupnih informacij. Ko pa je bil sprva zasnovan, je Keylogger služil namenu staršem, ki so lahko spremljali spletno dejavnost svojih otrok, in organizacijam, kjer so delodajalci lahko ugotovili, ali zaposleni delajo na želenih nalogah, ki so jim bile dodeljene.

Preberite tudi: -

Kako se zaščititi pred keyloggerji Keyloggerji so nevarni in da bi ostali zaščiteni, morate vedno posodabljati programsko opremo, uporabljati zaslonske tipkovnice in slediti vsem ...

AutoHotKey

AutoHotkey je brezplačen , odprtokodni skriptni jezik po meri za Microsoft Windows, ki je bil prvotno namenjen zagotavljanju enostavnih bližnjic na tipkovnici ali bližnjičnih tipkah, hitrega ustvarjanja makrov in avtomatizacije programske opreme, ki uporabnikom večine ravni računalniškega znanja omogoča avtomatizacijo ponavljajočih se opravil v kateri koli aplikaciji Windows. Iz Wikipedije, proste enciklopedije.

Google Obrazci

Google Forms je ena od aplikacij, ki tvorijo Googlov paket spletnih pisarniških aplikacij. Uporablja se za izdelavo ankete ali vprašalnika, ki se nato pošlje želeni skupini ljudi, njihovi odgovori pa se zabeležijo v eno samo preglednico za analitične namene.

Kaspersky

Kaspersky je znana ruska protivirusna blagovna znamka, ki je razvila protivirusne programe, internetno varnost, upravljanje gesel, varnost končnih točk in druge izdelke in storitve za kibernetsko varnost.

Tam, kot se včasih reče: »Preveč dobrih stvari lahko naredi veliko slabo stvar«.

Fauxpersky recept

Fauxpersky je bil razvit z uporabo orodij AutoHotKey (AHK), ki berejo vsa besedila, ki jih uporabnik vnese iz sistema Windows, in pošilja pritiske tipk drugim aplikacijam. Metoda, ki jo uporablja AHK keylogger, je precej preprosta; širi se s tehniko samoreplikacije. Ko se izvede v sistemu, začne shranjevanje vseh informacij, ki jih je uporabnik vtipkal, v besedilno datoteko z imenom ustreznega okna. Deluje pod masko Kaspersky Internet Security in pošilja vse podatke, posnete od pritiskov tipk, hekerju prek Google Forms. Metoda pridobivanja podatkov je neobičajna: napadalci jih zbirajo iz okuženih sistemov z uporabo Googlovih obrazcev, ne da bi pri varnostnih rešitvah, ki analizirajo promet, povzročile dvom, saj šifrirane povezave z docs.google.com niso videti sumljive. Ko je bil seznam pritiskov na tipke poslan, se izbriše s trdega diska, da se prepreči zaznavanje. Ko pa je sistem okužen, se zlonamerna programska oprema znova zažene po ponovnem zagonu računalnika. Prav tako ustvari bližnjico zase v zagonskem imeniku v meniju Start.

Fauxpersky: Modus Operandi

Postopek začetne okužbe še ni določen, vendar potem, ko zlonamerna programska oprema ogrozi sistem, pregleda vse izmenljive pogone, ki so priključeni na računalnik, in se v njih replicirajo. Ustvari mapo v %APPDATA% z imenom " Kaspersky Internet Security 2017 " s šestimi datotekami, od katerih so štiri izvedljive in imajo enako ime kot sistemska datoteka Windows: Explorers.exe, Spoolsvc.exe, Svhost.exe in Taskhosts.exe. Drugi dve datoteki sta slikovna datoteka z logotipom protivirusnega programa Kaspersky in druga datoteka, ki je besedilna datoteka z imenom 'readme.txt'. Štiri izvedljive datoteke opravljajo različne funkcije:

• Explorers.exe – se širi z gostiteljskih strojev na povezane zunanje pogone prek podvajanja datotek.
• Spoolsvc.exe – spremeni vrednosti registra sistema, kar uporabniku prepreči ogled vseh skritih in sistemskih datotek.
• Svhost.exe- uporablja funkcije AHK za spremljanje trenutno aktivnega okna in beleženje vseh pritiskov tipk, vnesenih v to okno.
• Taskhosts.exe – se uporablja za končni prenos podatkov.

Vsi podatki, zabeleženi v besedilni datoteki, bodo poslani v nabiralnik napadalca prek Googlovih obrazcev in bodo izbrisani iz sistema. Poleg tega so podatki, posredovani prek Google Forms, že šifrirani, zaradi česar se zdi, da nalaganje podatkov podjetja Fauxpersky v različnih rešitvah za spremljanje prometa ni sumljivo.

Podjetje za kibernetsko varnost 'Cybereason' je zaslužno za odkritje te zlonamerne programske opreme in čeprav ne navaja, koliko računalnikov je bilo okuženih, vendar glede na to, da se inteligenca Fauxperskyja širi s staromodnim načinom deljenja USB-pogonov. Ko je bil Google obveščen, se je takoj odzval in v eni uri odstranil obrazec s svojih strežnikov.

Odstranitev

Če menite, da je tudi vaš računalnik okužen, preprosto odprite mapo 'AppData' in vnesite mapo 'Gostovanje' ter izbrišite datoteke, povezane z Kaspersky Internet Security 2017 in sam imenik iz zagonskega imenika, ki se nahaja v začetnem meniju. Priporočljivo je tudi, da spremenite gesla storitev, da se izognete nepooblaščeni uporabi računov.

Tudi z najnovejšo antimalware se lahko kupi denar, bi bilo napačno misliti, da so naši osebni podatki, shranjeni v naših računalnikih, varni, saj zlonamerno programsko opremo pogosto ustvarjajo aktivisti socialnega inženiringa po vsem svetu. Razvijalci protizlonamerne programske opreme lahko še naprej posodabljajo definicije zlonamerne programske opreme, vendar ni vedno 100-odstotno mogoče odkriti nenavadno programsko opremo, ki so jo ustvarili briljantni umi, ki so zašli na pot. Najboljši način za preprečevanje infiltracije je, da obiščete samo zaupanja vredna spletna mesta in bodite izjemno previdni pri uporabi zunanjih pogonov.