Feltámadt az egyik legnagyobb kártékony hálózat
A Pushdo trójai ismét aktivizálódott, és megint egy kiterjedt kártékony hálózat felépítésébe fogott. Most viszont minden korábbinál nehezebb lesz kihúzni a méregfogát.A számítógépes kártékony programok világában a Pushdo trójai neve korántsem ismeretlen. A károkozó ugyanis már 2007 elején felhívta magára a figyelmet elsősorban azáltal, hogy banki adatok lopására alkalmas programokat kezdett terjeszteni. Így hozzájárult a hírhedt Zeus és SpyEye trójai számítógépekre való feljuttatásához is. Ezzel azonban még nem volt vége a károkozásainak, ugyanis az általa megfertőzött PC-kből egy nagyon jelentős kiterjedésű botnetet épített fel, amit a vírusterjesztés mellett jelentős mennyiségű kéretlen elektronikus levél célba juttatására is felhasznált. A spamelési tevékenysége olyan méreteket öltött, hogy kezdetben a világ spamforgalmának jelentős részét egymaga képes volt produkálni.
A biztonsági cégek és a hatóságok világszerte munkálkodtak azon, hogy a Pushdo által felépített botnetet meg lehessen bénítani. Az elmúlt öt évben összesen négy jelentős, összehangolt akció indult a Pushdo botnet ellen, amelyek több-kevesebb sikert hoztak. Azonban mindegyikről elmondható, hogy csak átmenetileg éreztették a hatásukat, ugyanis valamilyen úton-módon a Pushdo mögött meghúzódó kiberbűnözői csoportok mindig képesek voltak újra életet lehelni a hálózatukba. Ez történt az elmúlt hetekben is, ugyanis a Pushdo ismét aktivizálódott.
Minden kezdődik elölről
A Pushdo újbóli éledezésére először márciusban figyeltek fel a Damballa cég kutatói, akik az elmúlt napokban arról számoltak be, hogy a trójai minden korábbinál több fejtörést fog okozni, ugyanis jelentősen képes megnehezíteni az újonnan épülő botnet leállítását. Ezt elsősorban azzal éri el, hogy a hozzá tartozó vezérlőszerverekhez való hozzáférést több módon biztosítja.
A trójai minden példánya tartalmaz egy-egy fix címlistát, ami alapján a botnetet irányító kiszolgálókat képes elérni. Azonban, ha a biztonsági cégek, szolgáltatók ezeket a webcímeket blokkolják, például feketelisták segítségével, és ezáltal a trójai nem tud csatlakozni egy szerverhez, akkor jön a következő trükk. A károkozó rendelkezik egy olyan algoritmussal, amely minden egyes nap 1000 domain nevet generál. A vírusterjesztők pedig pontosan tisztában vannak azzal, hogy az algoritmus mely napokon, milyen domain neveket állít elő, és szükség esetén azokból párat be tudnak regisztrálni. Így aztán jelentősen képesek megnehezíteni a feketelistákra épülő vagy a hírnévalapú védelmi technológiák dolgát.
Forrás: Damballa
A domain nevek generálásával kapcsolatos trükkről meg kell jegyezni, hogy nem egy új keletű megoldásról van szó. Úgynevezett DGA (Domain Generation Algorithms) algoritmusokkal többek között a széles körben terjedő, rengeteg kárt okozó Zeus trójai és a TDL/TDSS kártevőcsalád is rendelkezik.
Mire képes a Pushdo?
A legújabb Pushdo variáns fontos jellemzője, hogy a hozzá kapcsolódó hálózati adatforgalmat próbálja leplezni, és teljesen legális adatok közé bújtatni. Ennek érdekében rendszeresen több mint 200 weboldal közül választ, amelyek letöltésével, felkeresésével igyekszik elrejteni a saját nemkívánatos kommunikációját. Eközben pedig visszatér régi önmagához, és kéretlen elektronikus levelek küldözgetésében vesz részt, vagyis spamelést támogat.
Gyors terjedés
A Damballa kutatói az elmúlt hetekben több mint egymillió olyan egyedi IP-címet azonosítottak, amelyek mögött feltételezhetően Pushdo-val fertőzött rendszerek húzódnak meg. A legtöbb fertőzött számítógép Indiában, Iránban és Mexikóban található, de az USA is meglehetősen előkelő helyen áll ebből a szempontból. A biztonsági cég szerint a Pushdo legtöbbször egyéb kártékony programok révén kerülhet fel a PC-kre, de gyakori, hogy fertőzött weboldalakon keresztül töltődik le. Ennek során képes kihasználni böngészőket érintő sebezhetőségeket is, ami alapvetően befolyásolja az elleni folytatott védekezést. A naprakészen tartott víruskeresők mellett fontos a Windows, a webböngészők és az egyéb alkalmazások rendszeres biztonsági frissítése.
-
Az IBM a QRadar SIEM-ben egy kritikus biztonsági hibát javított.
-
A LibreOffice-hoz egy biztonsági javítás vált elérhetővé.
-
A Google ismét súlyos sérülékenységeket szüntetett meg a Chrome böngészőben.
-
Az SAP kiadta a májusi biztonsági frissítéseit.
-
Az Adobe egy tucat sebezhetőséget orvosolt a PDF-kezelő alkalmazásai kapcsán.
-
Az Adobe Illustrator három sebezhetőség miatt kapott frissítést.
-
A VMware fontos hibajavításokat adott ki a Workstation és a Fusion megoldásaihoz.
-
Az Apple kiadta a mobil operációs rendszereinek legújabb biztonsági javításait.
-
Jelentős biztonsági frissítés érkezett a macOS operációs rendszerhez.
-
Elérhetővé váltak a Windows májusi frissítései.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.