Microsoftos technikát használ a legújabb kártékony hálózat

​Az MnuBot nevű trójai program banki adatokat igyekszik kifürkészni. Mindezt olyan trükkökkel hajtja végre, amik a víruskeresők és a felhasználók megtévesztésére egyaránt alkalmasak lehetnek.
 
hirdetés
Az IBM X-Force kutatócsoportjának hálóján akadt fent az a kártékony program, amely végül az MnuBot nevet kapta. A legfontosabb érdekessége, hogy egy olyan botnetet épít ki, amelynek lelkét egy SQL Server adatbáziskiszolgáló adja. Vagyis az eddigiekben oly sokszor alkalmazott HTTP/HTTPS, valamint IRC alapú botnet kommunikációt az MnuBot lecserélte a Microsoft megoldására. Ezzel pedig nem kis fejtörést képes okozni a védelmi technológiák számára.
 
Az MnuBot alapvetően két fázisban fertőzi meg a számítógépeket, és hajtja végre a károkozásait. Első körben ellenőrzi, hogy az %AppData%\Roaming mappában található-e egy Desk.txt nevű állomány. Amennyiben nem, akkor létrehoz egyet, és ezzel párhuzamosan egy új Asztalt is nyit (amennyiben erre az éppen áldozattá váló Windows példány lehetőséget ad).
 
A második lépés során az MnuBot egy SQL Serverhez kapcsolódik. Az ehhez szükséges IP-cím, portszám, felhasználónév és jelszó beégetetten található meg a kártékony program kódjában. Ha ez a szerver elérhetetlen, akkor a trójai nem hajt végre további műveleteket. Ellenkező esetben azonban letölt egy állományt, amelyet elment azt alábbiak szerint:
C:\Users\Public\Neon.exe


A kártevőhöz tartozó egyik adattábla lekérdezése
Forrás: IBM X-Force
 
Ettől kezdve ez a fájl lesz a károkozó lelke, és ez ad lehetőséget a következő műveletek távolról vezérelt végrehajtására:
  • billentyűleütések naplózása
  • képernyőképek lementése
  • felhasználói billentyűleütések és kattintások szimulálása
  • a fertőzött rendszer újraindítása.
A Delphiben íródott károkozó további fontos sajátossága, hogy képes banki csalósok elkövetésére is. Mindezt úgy teszi, hogy folyamatosan figyelemmel kíséri a felhasználó által megnyitott weblapokat. Amennyiben azok olyan bankhoz tartoznak, amik a trójai, pontosabban annak terjesztői számára érdeklődésre tartanak számot, akkor a kártevő úgynevezett overlay technikát vet be. Ennek során megvárja, hogy a felhasználó belépjen a banki fiókjába, majd egy teljes képernyős képpel elfedi a banki oldalt. Eközben pedig a háttérben a támadók kedvükre kotorászhatnak a trójai által kiépített hátsó kapun keresztül.
 
Az MnuBot eddig leginkább brazil felhasználók számítógépeire került fel, de sajnos van rá esély, hogy az SQL Serveres trükköt más vírusírók is le fogják koppintani.
Vélemények
 
  1. 3

    A Tenable SecurityCenter két sérülékenység miatt szorul frissítésre.

  2. 3

    A PostgreSQL fejlesztői egy biztonsági rést foltoztak be.

  3. 3

    A Juniper Junos egy hálózatkezelési hiba miatt eshet támadások áldozatává.

 
Partnerhírek
Beszállítótól kerülhettek volna ki a Tesla, Fiat, VW adatai

​Egy nagy szervezet adataihoz legkönnyebb partnerei kevésbé védett kapuin keresztül bejutni. Ez a tény nemrég egy sor autógyártó számára vált majdnem igazi rémálommá.

6 tipp a biztonságos nyaraláshoz

​Legyen az a Balaton vagy a horvát tengerpart, a legtöbben a nyaralásra is magukkal viszik az okostelefonjukat és akár a notebookjukat.

hirdetés
Közösség
1