Sicontact Kft.

Telefonszám: +36 (1) 346 7052
E-mail: info@sicontact.hu
Web: www.eset.hu

Év eleji trójai áradat

Összességében a trójaik adják a mezőny többségét, szám szerint tíz helyből hetet foglalnak el a vírusok toplistáján.

A Top10 listát óriási fölénnyel - 22.17%-os értékkel - ebben a hónapban is a JS/CoinMiner trójai vezeti. A JS/CoinMiner olyan szkript, amely a felhasználó tudta nélkül képes a kriptográfiai valuták bányászatára. A kártevő segítségével észrevétlenül Feathercoin, Litecoin vagy Monero bányászatra használják az áldozat számítógépének erőforrásait, és az érintett felhasználók nagy száma miatt a támadók ezzel jelentős bevételekre tehetnek szert. A weboldalak megfertőzésével ugyanis egyszerűbben lehet sok felhasználót elérni, mint az áldozatok gépeit egyenként megfertőzni.

Ezzel még nincs azonban vége a rejtett kriptovaluta bányászattal foglalatoskodó kártevőknek, ugyanis a hetedik és nyolcadik helyen új szereplőként a 32 bites, illetve 64 bites Windows rendszereken terjedő Win32/CoinMiner, illetve Win64/CoinMiner kártevőt találhatjuk. Ezek a trójai programok szintén képesek a megfertőzött számítógépen a felhasználó tudta nélkül kriptográfiai bányászat végrehajtására. Emellett azért, hogy nehezítsék a víruslaborok visszafejtő, elemző munkáját, egyes változatok képesek észlelni, hogy fut-e kódelemző debugger a háttérben, illetve hogy virtuális gépben futtatják-e, ilyenkor azonnal megszakítja a futását és kilép.

Harmadik helyre csúszott vissza a JS/Adware.Imali, amely adware nevéhez híven kéretlen reklámokat mutat, rosszindulatú kódja HTML oldalakba ágyazódik be észrevétlenül. Ismét listára került a HTML/Scrinject is, és egyenesen az előkelő második helyezést mondhatja magáénak. A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

Ezúttal ötödik pozícióban találjuk a JS/Redirector trójait. Ez az ál-antivírusokhoz hasonlóan hamis riasztásokat jelenít meg a megfertőzött számítógép böngészőjében. Célja, hogy hamisított (például hamis banki) oldalakra csaljon bennünket, közben pedig hátsó ajtót nyit a megtámadott gépen, különféle weboldalhoz kísérel meg csatlakozni, és azokról további kártékony kódokat tölt le.
 
Végül e havi harmadik újoncunk a hatodik helyezett JS/Adware.Revizer adware, amely egy olyan kártékony program, amelyet a megfertőzött számítógépen a felhasználó jóváhagyása nélkül kéretlen hirdetések megjelenítésére terveztek. Az ehhez szükséges rosszindulatú programok programkódja általában észrevétlenül beágyazódik a különböző weboldalak HTML kódjába. Mindeközben igyekszik hátsóajtót is telepíteni a számítógépre, ezzel pedig lehetővé teszi a távoli támadók számára, hogy illetéktelenül hozzáférhessenek a kompromittálódott számítógéphez.

Az ESET Radar Report e havi kiadása ezúttal olyan érdekes fenyegetésekről számol be, ahol a klasszikus pénzlehúzós nigériai, más néven 419-es csalást, megtévesztést keresztezték a mai ransomwarek módszereivel. Arról van ugyanis szó, hogy újabban megjelentek olyan spam kampányok, amelyek arról számolnak be, hogy ismeretlenek felfogadtak egy bérgyilkost, hogy öljön meg minket. Az üzenetben maga az állítólagos bérgyilkos jelentkezik be hozzánk, és elmondja, hogy 50 ezer dollárt ígértek neki a kivégzésünkért, ő azonban lekenyerezhető, vagyis ha van 15 ezer dollárnyi Bitcoinunk, és azt hamar átutaljuk az általa megadott számlára, akár életben is maradhatunk.

Bár biztos vannak sokan, akik az ilyen jellegű kamu fenyegetésekre, és a SMERSH vagy éppen a merőben fiktív SPECTRE titkos-ügynökségek ijesztgetéseire inkább csak nevetnek, sajnos mégis akadnak jó páran, akik ijedtükben fizetnek, és ezzel tartják életben az ilyen jellegű csalásokat. Minden kéretlen levelet, ismeretlentől érkező üzenetet érdemes kellő gyanakvással fogadni, a levél részleteire - tárgysor, feladó, az üzenet mondatai - pedig célszerű rákeresni az interneten, amivel sokszor már azonnal leleplezhetjük az ilyen tipikus, lánclevélszerűen terjedő hamis, pénzt zsaroló fenyegetéseket.
 
Blogmustra
 
Az antivírus blog januári fontosabb blogposztjai között először régi hagyományunk szerint visszamenőleg megnéztük az ESET által a tavalyi évre jósolt kártevő trendeket, vajon mennyire voltak találóak az akkori előrejelzések.

Jó sok éve már, hogy rendszeresen végignézzük a Worst Password aktuális listáját, és részint az évek óta egyre növekvő számú incidensnek, beszámolónak, részint a biztonságtudatosság vélelmezett erősödése miatt azt hihetnénk, hogy a helyzet jelszó fronton évről évre javult. Holott sajnos mi sem áll távolabb a valóságtól.

Aztán arról is írtunk, hogy a CryptoLocker óta eleinte kizárólag Bitcoinban kérték a bűnözők a váltságdíjat. Mostanában viszont változni látszik a helyzet, új kriptovaluta fajták is szerepelnek a zsarolóvírusokban, és a gépek erőforrásait használó kriptopénzt bányászó kártevőknél is.

Szó volt arról is, hogy az ESET januárban új kártevőt azonosított, amelyet a hírhedt Turla csoport használt politikai szervezetek elleni támadásra, kémkedésre a kelet-európai régióban. Az új vírus egy Adobe weboldaláról származó hamis szoftvernek álcázta magát.

Emellett beszámoltunk a Tinder háza táján történtekről. Ahol aggodalomra adhat okot, ha mobilon használjuk ezt a randiappot. Biztonsági kutatók ugyanis demonstrálták, hogy a HTTPS hiánya miatt közös wifin keresztül illetéktelenek is láthatják a tinderes akcióinkat, a megjelenő profilképeket, valamint kedveléseinket.

Végül pedig az is szóba került, hogy egy friss kutatásban arra voltak kíváncsiak a szakemberek, vajon mennyire van javulóban a jelszavak választásának, kezelésének biztonságtudatossága, illetve a különböző életkorú generációk hogyan kezelik mindezt.
Az oldalt partnerünk szerkeszti, annak tartalmáért felelősséget nem vállalunk!