Egy Windows parancs segítségével terjed a MineBridge trójai
A számítógépes vírusok terjesztői egy újabb trükköt vetettek be annak érdekében, hogy minél nagyobb valószínűséggel tudják átejteni a víruskeresőket.A finger parancs Linux mellett Windows operációs rendszer alatt is használható különféle felhasználói információk lekérdezésére. Tavaly szeptemberben azonban ezt a régóta ismert parancsot a kiberbűnözők elkezdték a saját javukra fordítani. Úgy tűnik, hogy számukra ez a módszer bevált, hiszen az elmúlt napokban egy újabb károkozó kapcsán került elő a technika.
Elsőként Kirk Sayre biztonsági kutató számolt be arról, hogy az egyik kártékony program tanulmányozása során azt vette észre, hogy a vírusterjesztők a finger parancs segítségével juttatják fel a kiszemelt számítógépekre a kártékony kódjaikat. Jelesül a MineBridge nevű trójait.
A MineBridge önmagában már eddig is ismert volt a víruskutatók előtt. Először a FireEye számolt be róla, amikor a kártevő észak-koreai célpontok ellen szállt harcba különféle adathalász módszerekkel vegyítve.
Megint a makrók
A MineBridge legtöbbször kártékony Word állományokat tartalmazó elektronikus levelek révén terjed. Egyebek mellett olyan üzenetek kíséretében, amik álláshirdetésekkel kapcsolatosak. Amikor a felhasználó megnyitja a dokumentumot, akkor arra kérik, hogy engedélyezze a dokumentum szerkesztését, illetve a makrók futtatását, mivel a fájl egy régebbi Word verzióval készült, így csak az engedélyek megadását követően lehet azt megtekinteni. Természetesen a valóságban erről szó sincs, a csalók kizárólag azt akarják elérni, hogy a mondvacsinált ürügy hatására a makróik elindulhassanak.
Forrás: Kirk Sayre
Ezek a makrók egy finger parancsot futtatnak le, amely egy távoli kiszolgálóról letölt egy tanúsítványt Base64 kódolással. Ezt a certutil.exe segítségével dekódolják a csalók, aminek hatására egy vírusletöltésre alkalmas, futtatható fájl kerül a számítógépre. Amikor ez elindul, akkor letölti a TeamViewer alkalmazás egyes állományait, majd DLL-befecskendezéssel bejuttatja a memóriába a MineBridge trójai kódját.
A MineBridge egy meglehetősen összetett, sok funkcióval rendelkező kártevő, amely alkalmas egyebek mellett az alábbiak végrehajtására:
- fájlok letöltése és futtatása
- folyamatok listázása és leállítása
- a rendszer újraindítása
- jogosultsági szint emelés
- a TeamViewer aktiválása
- rendszerinformációk összegyűjtése
- a saját állományainak eltávolítása.
A fentiek mellett a MineBridge képes arra is, hogy bekapcsolja a fertőzött számítógéphez tartozó mikrofont, és elősegítse a beszélgetések lehallgatását.
A biztonsági szakemberek a fenti trükk kapcsán azt javasolják, hogy ha van rá mód, akkor tiltsuk a finger parancs használatát, akár az AppLocker, akár más technológiák segítségével.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.