Microsoftos technikát használ a legújabb kártékony hálózat

​Az MnuBot nevű trójai program banki adatokat igyekszik kifürkészni. Mindezt olyan trükkökkel hajtja végre, amik a víruskeresők és a felhasználók megtévesztésére egyaránt alkalmasak lehetnek.
 

Az IBM X-Force kutatócsoportjának hálóján akadt fent az a kártékony program, amely végül az MnuBot nevet kapta. A legfontosabb érdekessége, hogy egy olyan botnetet épít ki, amelynek lelkét egy SQL Server adatbáziskiszolgáló adja. Vagyis az eddigiekben oly sokszor alkalmazott HTTP/HTTPS, valamint IRC alapú botnet kommunikációt az MnuBot lecserélte a Microsoft megoldására. Ezzel pedig nem kis fejtörést képes okozni a védelmi technológiák számára.
 
Az MnuBot alapvetően két fázisban fertőzi meg a számítógépeket, és hajtja végre a károkozásait. Első körben ellenőrzi, hogy az %AppData%\Roaming mappában található-e egy Desk.txt nevű állomány. Amennyiben nem, akkor létrehoz egyet, és ezzel párhuzamosan egy új Asztalt is nyit (amennyiben erre az éppen áldozattá váló Windows példány lehetőséget ad).
 
A második lépés során az MnuBot egy SQL Serverhez kapcsolódik. Az ehhez szükséges IP-cím, portszám, felhasználónév és jelszó beégetetten található meg a kártékony program kódjában. Ha ez a szerver elérhetetlen, akkor a trójai nem hajt végre további műveleteket. Ellenkező esetben azonban letölt egy állományt, amelyet elment azt alábbiak szerint:
C:\Users\Public\Neon.exe


A kártevőhöz tartozó egyik adattábla lekérdezése
Forrás: IBM X-Force
 
Ettől kezdve ez a fájl lesz a károkozó lelke, és ez ad lehetőséget a következő műveletek távolról vezérelt végrehajtására:
  • billentyűleütések naplózása
  • képernyőképek lementése
  • felhasználói billentyűleütések és kattintások szimulálása
  • a fertőzött rendszer újraindítása.
A Delphiben íródott károkozó további fontos sajátossága, hogy képes banki csalósok elkövetésére is. Mindezt úgy teszi, hogy folyamatosan figyelemmel kíséri a felhasználó által megnyitott weblapokat. Amennyiben azok olyan bankhoz tartoznak, amik a trójai, pontosabban annak terjesztői számára érdeklődésre tartanak számot, akkor a kártevő úgynevezett overlay technikát vet be. Ennek során megvárja, hogy a felhasználó belépjen a banki fiókjába, majd egy teljes képernyős képpel elfedi a banki oldalt. Eközben pedig a háttérben a támadók kedvükre kotorászhatnak a trójai által kiépített hátsó kapun keresztül.
 
Az MnuBot eddig leginkább brazil felhasználók számítógépeire került fel, de sajnos van rá esély, hogy az SQL Serveres trükköt más vírusírók is le fogják koppintani.
Vélemények
 
  1. 4

    A Drupal alapú weboldalak frissítését mihamarabb célszerű elvégezni.

  2. 3

    A McAfee Data Loss Prevention egy közepes veszélyességű biztonsági hibát tartalmaz.

  3. 1

    A Betabot trójai számos kártékony tevékenységbe tud bekapcsolódni. A neve ellenére már egyáltalán nem béta verzióról van szó.

 
Partnerhírek
Okoseszközeink az áramellátást is veszélyeztethetik

A kiberbűnözők internetes hálózatba kapcsolt háztartási készülékeket köthetnek botnetekbe, hogy manipulálhassák az energiahálózatot.

Amikor az ellátási lánc a gyenge pont

Október elején az egész biztonsági világ rácsodálkozott a neves Bloomberg Businessweek tényfeltáró cikkére, mely hardverszintű beépített kémkedésről szólt.

hirdetés
Közösség
1