Multifunkciós vírus támadja a számítógépeket

Egy igencsak összetett kártékony programra derült fény, amely tulajdonképpen egy teljes támadókészletet foglal magában. Nem lenne nehéz meggátolni a terjedését, de ez valamiért mégsem igazán sikerül.
 

A Trend Micro biztonsági kutatói egy igencsak érdekes kártékony programot vettek alaposabban is szemügyre. A vizsgálataik során hamar kiderült, hogy egy összetett szerzeményről van szó, amely többlépcsős támadásokat hajt végre. Nyilván mindez a víruselemzést is megnehezítette, de végül kialakult a teljes kép a károkozóról.
 
Támadás több lépésben
 
Az ártalmas program első lépésként egy adatlopásra kiélezett programot telepít fel. Ezáltal elsősorban alapvető rendszerinformációkhoz jut, amiket kiszivárogtat a terjesztői számára. Egyúttal pedig a vezérlőszerveréről letölt egy további programot, amelyet telepít. Ekkor egy MIMIKATZ trójait juttat fel a rendszerre.
 
A MIMIKATZ-nak ezúttal a Python alapú verziója jut szerephez, és rögtön megpróbálja kihasználni az MS17-010-es biztonsági közleményben ismertetett Windows-os (SMB) sérülékenységet. Ezt a hibát a Microsoft már 2017-ben orvosolta, így leginkább azok a számítógépek vannak kiszolgáltatva a károkozóval szemben, amelyek nem tartalmazzák a biztonsági frissítéseket. Fontos megjegyezni, hogy ilyenkor nem kizárólag egy-egy rendszer kerül veszélybe, mivel a károkozó féregszerű terjedésre lehetőséget adó képességei miatt a helyi hálózatban működő további kiszolgálók és PC-k ostromlása is megkezdődik.
 
A MIMIKATZ további feladata, hogy letöltsön egy titkosított állományt, amelyből a dekódolást követően egy Monero bányászatra alkalmas nemkívánatos program kerül elő. Amikor ez elkezdi a kriptobányászatot, akkor a fertőzött számítógép jelentősen lelassulhat. A támadás során a Radmin hacker eszköz is szerephez jut, és jogosulatlan hozzáférést biztosíthat a térdre kényszerített rendszerekhez.
 
Miért nem sikerült elkapni?
 
A Trend Micro által felfedezett kártékony program tehát alkalmas adatlopásra, vírusterjesztésre, hátsó kapu kiépítésére és kriptopénzek bányászatára is. Felmerülhet a kérdés, hogy a vírusírók elsősorban miért nem ilyen, multifunkciós programokat írnak? Többek között azért nem ezt az irányt követik, mert minél több összetevővel, szolgáltatással rendelkezik egy károkozó, annál nagyobb valószínűséggel bukik le valamely védelmi technológia által. Ebből a szempontból az új szerzemény talán még a kutatókat is meglepte, hiszen a MIMIKATZ és a Radmin is jól ismert a víruskeresők számára, a károkozó mégis több hónapig terjedhetett észrevétlenül. A detektálását követően kiderült, hogy már fertőzött Tajvanon, Kínában, Hongkongban, sőt már Európába is eljutott (eddig elsősorban Olaszországban okozott problémákat).
 
Védekezés

Az új károkozó ellen elsősorban naprakészen tartott, korszerű víruskeresőkkel lehet felvenni a küzdelmet. Emellett azonban fontos a biztonsági frissítések rendszeres telepítése és a biztonságtudatos netezés is.
Vélemények
 
  1. 3

    A CoreFTP FTP és SFTP Server egy közepes veszélyességű sebezhetőséget tartalmaz.

  2. 3

    A Drupal fejlesztői egy biztonsági hibajavítást adtak ki.

  3. 1

    A Fakeslic trójai a felhasználók megtévesztésével próbál felkerülni a kiszemelt számítógépekre.

 
Partnerhírek
​Kiberbűnözés a dark weben

A kiberbűnözés 3 billió (milliószor millió) dolláros kiadást jelentett világszerte 2015-ben, és az előrejelzések szerint ez az összeg 2021-re 6 billióra emelkedik.

​Több millió autó(s) lehet veszélyben az okos riasztók miatt

Több millió autóba szerelték be olyan, mobiltelefonnal irányítható riasztókat, amelyek komoly biztonsági hibáik miatt nemhogy megvédik, de sokkal sérülékenyebbé teszik az autókat és az autósokat is.

hirdetés
Közösség
1