Microsoftos technikát használ a legújabb kártékony hálózat
Az MnuBot nevű trójai program banki adatokat igyekszik kifürkészni. Mindezt olyan trükkökkel hajtja végre, amik a víruskeresők és a felhasználók megtévesztésére egyaránt alkalmasak lehetnek.Az IBM X-Force kutatócsoportjának hálóján akadt fent az a kártékony program, amely végül az MnuBot nevet kapta. A legfontosabb érdekessége, hogy egy olyan botnetet épít ki, amelynek lelkét egy SQL Server adatbáziskiszolgáló adja. Vagyis az eddigiekben oly sokszor alkalmazott HTTP/HTTPS, valamint IRC alapú botnet kommunikációt az MnuBot lecserélte a Microsoft megoldására. Ezzel pedig nem kis fejtörést képes okozni a védelmi technológiák számára.
Az MnuBot alapvetően két fázisban fertőzi meg a számítógépeket, és hajtja végre a károkozásait. Első körben ellenőrzi, hogy az %AppData%\Roaming mappában található-e egy Desk.txt nevű állomány. Amennyiben nem, akkor létrehoz egyet, és ezzel párhuzamosan egy új Asztalt is nyit (amennyiben erre az éppen áldozattá váló Windows példány lehetőséget ad).
A második lépés során az MnuBot egy SQL Serverhez kapcsolódik. Az ehhez szükséges IP-cím, portszám, felhasználónév és jelszó beégetetten található meg a kártékony program kódjában. Ha ez a szerver elérhetetlen, akkor a trójai nem hajt végre további műveleteket. Ellenkező esetben azonban letölt egy állományt, amelyet elment azt alábbiak szerint:
C:\Users\Public\Neon.exe
A kártevőhöz tartozó egyik adattábla lekérdezése
Forrás: IBM X-Force
Ettől kezdve ez a fájl lesz a károkozó lelke, és ez ad lehetőséget a következő műveletek távolról vezérelt végrehajtására:
- billentyűleütések naplózása
- képernyőképek lementése
- felhasználói billentyűleütések és kattintások szimulálása
- a fertőzött rendszer újraindítása.
Az MnuBot eddig leginkább brazil felhasználók számítógépeire került fel, de sajnos van rá esély, hogy az SQL Serveres trükköt más vírusírók is le fogják koppintani.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.