Sokat tanult hírhedt elődjétől a BazarBackdoor vírus

​A BazarBackdoor nevű trójai program elsősorban üzleti felhasználókat támad, miközben a koronavírus miatt kialakult helyzetet sem rest a saját javára fordítani.
 

A Trickbot trójai program 2016 óta jelentős számú számítógép megfertőzésével juttatta hozzá a terjesztőit bizalmas információkhoz. Ezek között voltak banki adatok, rendszer- és hálózati információk, valamint egyéb érzékeny adatok. A szerzemény nem kímélte sem az egyéni, sem az üzleti felhasználókat, miközben elősorban kéretlen elektronikus leveleken keresztül ostromolta őket.
 
Sajnos a trójai még napjainkban is fenyegetést jelent, különösen úgy, hogy egy új leszármazottja is megjelent. Ez a BazarBackdoor nevet kapta, és az eddigi vizsgálatok szerint jelentős mértékben épít a Trickbotnál alkalmazott módszerekre, titkosítási eljárásokra, de még a háttérinfrastruktúráját illetően is fedezhetők fel hasonlóságok.
 
Többlépcsős fertőzés
 
A kártékony programot elsőként Vitali Kremez biztonsági kutató vette alaposabban is szemügyre. A vizsgálatai során bebizonyosodott, hogy az új szerzemény is elektronikus levelek révén terjed. Ezek témájukat tekintve meglehetősen változatosak. A látszólagosan ügyfélpanaszokat tartalmazó küldeményektől, egészen a koronavírussal összefüggő levelekig számos e-mail típus megtalálható a repertoárban. A lényeg azonban minden esetben az, hogy e levelek olyan Word, Excel vagy PDF fájlokra mutató linkeket tartalmaznak, amelyek a szokásos módon nem tekinthetők meg. Ennek az az oka, hogy ezek az állományok valójában nem dokumentumok, hanem futtatható fájlok. Ezért a csalók a felhasználót arra kérik, hogy töltse le a fájlt, majd a gépéről nyissa meg. Fontos megjegyezni, hogy a letöltött állományok Word, Excel vagy PDF alkalmazásokra utaló ikonokkal jelennek meg a Windows-ban, és dupla kiterjesztéssel rendelkeznek. Amennyiben az operációs rendszerben nem engedélyezett az ismert kiterjesztések megjelenítése, akkor a fájlnevekben az „exe” kiterjesztés nem is válik láthatóvá.  
Amikor a felhasználó megnyitja a dokumentumnak vélt állományt, akkor a trójai a háttérben elindul, és némi várakozás után egy távoli vezérlőszerverről letölt egy (payload) kódot. Ezt nem menti le, hanem azonnal megfertőzi a Windows svchost.exe nevű rendszerfolyamatát. Eközben pedig létrehoz egy ütemezett feladatot, hogy a számítógép újraindítása után is el tudja végezni ezeket a műveleteket, és mindig "friss" playload kóddal működjön.
 
A BazarBackdoor onnan kapta a nevét, hogy a jelenlegi vezérlőszerverei .bazar végződésű domain nevek révén érhetők el. Ezekről a kiszolgálókról szerzi be a kártékony kódjait, és ezekre tölti fel a megkaparintott adatokat.
 
A hátsó kapuként is funkcionáló károkozó a számítógépre feltelepíti a Cobalt Strike alkalmazás egy manipulált példányát. Emellett képes bizalmas adatok összegyűjtésére, a hálózatok feltérképezésére, de akár zsarolóvírusok terjesztésére is. Mindezeken túl állandó hozzáférést biztosít az általa megfertőzött rendszerekhez, illetve hálózatokhoz.
 
A BazarBackdoor ellen többrétegű védelmemmel lehet a leghatékonyabban felvenni a kesztyűt. Fontos a korszerű, naprakész víruskeresők használata, de legalább ilyen lényeges a biztonságtudatos, megfontolt elektronikus levelezés is.