Durva fegyverarzenállal fertőz egy banki trójai
Japánban már komoly fejtörést okozott egy rendkívül gazdag funkcionalitással rendelkező, banki trójai program. Sajnos a károkozó már Európa felé is kacsintgat.A számítógépes vírusok között már számos olyan hírhedt példánnyal találkozhattunk, amelyek bizonyították, hogy a pénzügyi és egyéb bizalmas adatok milyen sérülékennyé válhatnak általuk. E károkozók folyamatosan fejlődtek, és mind kifinomultabb technikákkal ostromolták a számítógépeket. Aztán nem is olyan régen felbukkant egy olyan kártékony program, amely az eddigi banki trójaiak legfontosabb jellemzőit, bevált technikáit egybegyúrta, és komoly fegyvertárral kezdte fertőzni a számítógépeket. Az áprilisban megjelent első variánsa elsősorban Japánban kezdte meg hódító útját, de úgy tűnik, hogy már európai banki rendszereket is kiszemelt magának. Ezért nem zárható ki, hogy előbb-utóbb az öreg kontinensen is aktív támadások főszereplőjévé válik.
Mit lesett el a korábbi trójai programoktól?
A Shifu nevű trójai egy komplex, összetett működésű kártevő, amely ismert, ártalmas programok által alkalmazott technikákat egyesít. Így például a Shiz trójai mintájára rendelkezik egy DGA (Domain Generation Algorithm) algoritmussal, amelynek segítségével el tudja érni a vezérlőszervereit. A konfigurációs fájlja nagymértékben hasonlít a Dridex víruséhoz. A helyi számítógépeken létrejövő visszaállítási pontokat éppúgy kitörli, mint például a régről ismert Conficker féreg. Nem utolsó sorban pedig olyan víruselemzést megnehezítő eljárásokat alkalmaz, mint amiket a Zeus VM trójai is. És akkor még nem is beszéltünk a valódi károkozásra alkalmas szolgáltatásairól. Ezek egyebek mellett a következők:
- billentyűleütések folyamatos naplózása
- webböngészők kémlelése
- weboldalak manipulálása web injection technikákkal
- képernyőképek rendszeres lementése
- tanúsítványok begyűjtése
- távoli hozzáférés biztosítása a fertőzött rendszerekhez
- botnethez való kapcsolódás
- alkalmazások monitorozása
- kártékony modulok letöltése
- összegyűjtött adatok kiszivárogtatása.
Az IBM kutatói szerint a Shifu fontos jellemzője, hogy nem kizárólag a végfelhasználók számítógépeit képes célkeresztbe állítani, hanem a POS terminálokat is. Vagyis a bank- és hitelkártyák elfogadására alkalmas számítógépekről is megpróbál értékes adatokhoz jutni, amit elsősorban a memória folyamatos monitorozásával hajt végre egy RAM-scraping bővítmény segítségével.
Webes manipulációk
Az eddigi vizsgálatok arra derítettek fényt, hogy a Shifu a weboldalak manipulálása terén minden korábbinál fejlettebb eljárásokat használ. Tulajdonképpen dinamikusan, valós időben képes megváltoztatni a támadók által kijelölt weblapokat a fertőzött rendszereken. Ezt vagy úgy teszi, hogy a teljes weblapot lecseréli egy meghamisított példányra, vagy web injection módszerekkel bizonyos tartalmi elemeket csempész az adott weboldalba. Például beilleszthet olyan űrlapot, amelyen arra kéri a felhasználót, hogy adja meg az egyszer használatos kódját a belépéshez. Természetesen mindezt a célkeresztbe állított bank arculati elemeinek felhasználásával, így igencsak megtévesztő tud lenni. Ha pedig a felhasználó bedől a trükknek, akkor az adatai rögtön a csalók kezébe kerülnek. A Shifu érdekessége, hogy esetenként egy Apache webszervert is telepít a fertőzött rendszerekre, amely szintén a webes manipulációk során jut szerephez.
Utálja a konkurenciát
A Shifu trójai kapcsán meg kell említeni, hogy az a rivális trójai programok jelenlétét egész egyszerűen nem tűri. Olyan modullal is rendelkezik, amely figyelemmel kíséri a számítógépre felmásolt állományokat, és ha fertőzött, gyanús fájlt észlel, akkor rögtön közbelép.
Azt egyelőre nem lehet tudni, hogy a Shifu mögött mely kiberbűnözői csoport áll. Az IBM vizsgálata szerint feltételezhetően orosz szálak lehetnek a háttérben, ugyanis a károkozó forráskódja több orosz nyelvű kommentet, illetve kódrészletet is tartalmaz.
A trójai kockázatait leginkább naprakészen tartott víruskeresőkkel lehet csökkenteni.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.