Sokat tanult hírhedt elődjétől a BazarBackdoor vírus

​A BazarBackdoor nevű trójai program elsősorban üzleti felhasználókat támad, miközben a koronavírus miatt kialakult helyzetet sem rest a saját javára fordítani.
 

A Trickbot trójai program 2016 óta jelentős számú számítógép megfertőzésével juttatta hozzá a terjesztőit bizalmas információkhoz. Ezek között voltak banki adatok, rendszer- és hálózati információk, valamint egyéb érzékeny adatok. A szerzemény nem kímélte sem az egyéni, sem az üzleti felhasználókat, miközben elősorban kéretlen elektronikus leveleken keresztül ostromolta őket.
 
Sajnos a trójai még napjainkban is fenyegetést jelent, különösen úgy, hogy egy új leszármazottja is megjelent. Ez a BazarBackdoor nevet kapta, és az eddigi vizsgálatok szerint jelentős mértékben épít a Trickbotnál alkalmazott módszerekre, titkosítási eljárásokra, de még a háttérinfrastruktúráját illetően is fedezhetők fel hasonlóságok.
 
Többlépcsős fertőzés
 
A kártékony programot elsőként Vitali Kremez biztonsági kutató vette alaposabban is szemügyre. A vizsgálatai során bebizonyosodott, hogy az új szerzemény is elektronikus levelek révén terjed. Ezek témájukat tekintve meglehetősen változatosak. A látszólagosan ügyfélpanaszokat tartalmazó küldeményektől, egészen a koronavírussal összefüggő levelekig számos e-mail típus megtalálható a repertoárban. A lényeg azonban minden esetben az, hogy e levelek olyan Word, Excel vagy PDF fájlokra mutató linkeket tartalmaznak, amelyek a szokásos módon nem tekinthetők meg. Ennek az az oka, hogy ezek az állományok valójában nem dokumentumok, hanem futtatható fájlok. Ezért a csalók a felhasználót arra kérik, hogy töltse le a fájlt, majd a gépéről nyissa meg. Fontos megjegyezni, hogy a letöltött állományok Word, Excel vagy PDF alkalmazásokra utaló ikonokkal jelennek meg a Windows-ban, és dupla kiterjesztéssel rendelkeznek. Amennyiben az operációs rendszerben nem engedélyezett az ismert kiterjesztések megjelenítése, akkor a fájlnevekben az „exe” kiterjesztés nem is válik láthatóvá.


Forrás: Vitali Kremez
 
Amikor a felhasználó megnyitja a dokumentumnak vélt állományt, akkor a trójai a háttérben elindul, és némi várakozás után egy távoli vezérlőszerverről letölt egy (payload) kódot. Ezt nem menti le, hanem azonnal megfertőzi a Windows svchost.exe nevű rendszerfolyamatát. Eközben pedig létrehoz egy ütemezett feladatot, hogy a számítógép újraindítása után is el tudja végezni ezeket a műveleteket, és mindig "friss" playload kóddal működjön.
 
A BazarBackdoor onnan kapta a nevét, hogy a jelenlegi vezérlőszerverei .bazar végződésű domain nevek révén érhetők el. Ezekről a kiszolgálókról szerzi be a kártékony kódjait, és ezekre tölti fel a megkaparintott adatokat.
 
A hátsó kapuként is funkcionáló károkozó a számítógépre feltelepíti a Cobalt Strike alkalmazás egy manipulált példányát. Emellett képes bizalmas adatok összegyűjtésére, a hálózatok feltérképezésére, de akár zsarolóvírusok terjesztésére is. Mindezeken túl állandó hozzáférést biztosít az általa megfertőzött rendszerekhez, illetve hálózatokhoz.
 
A BazarBackdoor ellen többrétegű védelmemmel lehet a leghatékonyabban felvenni a kesztyűt. Fontos a korszerű, naprakész víruskeresők használata, de legalább ilyen lényeges a biztonságtudatos, megfontolt elektronikus levelezés is.
Vélemények
 
  1. 3

    A Fortinet egy biztonsági rést foltozott be.

  2. 3

    A Nextcloud kapcsán egy biztonsági rendellenességre derült fény.

  3. 2

    ​A WastedLocker zsaroló program nagy felfordulást képest okozni a számítógépeken, és biztonsági mentések hiányában akár helyreállíthatatlan károkat is előidézhet.

 
Partnerhírek
​Az ESET kutatói felfedezték a KryptoCibule-t

Egy korábban nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet annak érdekében, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül.

Hogyan tehetjük biztonságosabbá a TikTok fiókunkat?

​A TikTok három évvel ezelőtt robbant be a köztudatba, azóta pedig töretlen népszerűségnek örvend, hiszen mára a második legnépszerűbb social média platformmá nőtte ki magát.

hirdetés
Közösség