Egy Windows parancs segítségével terjed a MineBridge trójai

​A számítógépes vírusok terjesztői egy újabb trükköt vetettek be annak érdekében, hogy minél nagyobb valószínűséggel tudják átejteni a víruskeresőket.
 

A finger parancs Linux mellett Windows operációs rendszer alatt is használható különféle felhasználói információk lekérdezésére. Tavaly szeptemberben azonban ezt a régóta ismert parancsot a kiberbűnözők elkezdték a saját javukra fordítani. Úgy tűnik, hogy számukra ez a módszer bevált, hiszen az elmúlt napokban egy újabb károkozó kapcsán került elő a technika. 

Elsőként Kirk Sayre biztonsági kutató számolt be arról, hogy az egyik kártékony program tanulmányozása során azt vette észre, hogy a vírusterjesztők a finger parancs segítségével juttatják fel a kiszemelt számítógépekre a kártékony kódjaikat. Jelesül a MineBridge nevű trójait. 

A MineBridge önmagában már eddig is ismert volt a víruskutatók előtt. Először a FireEye számolt be róla, amikor a kártevő észak-koreai célpontok ellen szállt harcba különféle adathalász módszerekkel vegyítve. 

Megint a makrók

A MineBridge legtöbbször kártékony Word állományokat tartalmazó elektronikus levelek révén terjed. Egyebek mellett olyan üzenetek kíséretében, amik álláshirdetésekkel kapcsolatosak. Amikor a felhasználó megnyitja a dokumentumot, akkor arra kérik, hogy engedélyezze a dokumentum szerkesztését, illetve a makrók futtatását, mivel a fájl egy régebbi Word verzióval készült, így csak az engedélyek megadását követően lehet azt megtekinteni. Természetesen a valóságban erről szó sincs, a csalók kizárólag azt akarják elérni, hogy a mondvacsinált ürügy hatására a makróik elindulhassanak.
Ezek a makrók egy finger parancsot futtatnak le, amely egy távoli kiszolgálóról letölt egy tanúsítványt Base64 kódolással. Ezt a certutil.exe segítségével dekódolják a csalók, aminek hatására egy vírusletöltésre alkalmas, futtatható fájl kerül a számítógépre. Amikor ez elindul, akkor letölti a TeamViewer alkalmazás egyes állományait, majd DLL-befecskendezéssel bejuttatja a memóriába a MineBridge trójai kódját. 

A MineBridge egy meglehetősen összetett, sok funkcióval rendelkező kártevő, amely alkalmas egyebek mellett az alábbiak végrehajtására:
- fájlok letöltése és futtatása
- folyamatok listázása és leállítása
- a rendszer újraindítása
- jogosultsági szint emelés
- a TeamViewer aktiválása
- rendszerinformációk összegyűjtése
- a saját állományainak eltávolítása.

A fentiek mellett a MineBridge képes arra is, hogy bekapcsolja a fertőzött számítógéphez tartozó mikrofont, és elősegítse a beszélgetések lehallgatását.

A biztonsági szakemberek a fenti trükk kapcsán azt javasolják, hogy ha van rá mód, akkor tiltsuk a finger parancs használatát, akár az AppLocker, akár más technológiák segítségével.