Fauxpersky: Eine neue Malware, die 2018 veröffentlicht wurde

Die Digitalisierung hat unseren Lebensstandard deutlich verbessert und macht vieles einfacher, schneller und zuverlässiger. Aber dann ist das Aufbewahren aller Aufzeichnungen auf dem Computer und die Verarbeitung über das Internet wie eine Münze mit zwei unterschiedlichen Seiten. Mit unzähligen Vorteilen gibt es einige bemerkenswerte Nachteile, die insbesondere Hacker und ihre Tools als Malware kennen. Das neueste Mitglied dieser großen Malware-Familie ist Fauxpersky. Es reimt sich zwar auf das berühmte russische Antivirus 'Kaspersky', aber hier trennen sich ihre Wege. Fauxpersky verkleidet sich als Kaspersky und soll Benutzerinformationen stehlen und über das Internet an Hacker senden. Es verbreitet sich über USB-Laufwerke, infiziert den Computer des Benutzers, erfasst alle Tastenanschläge wie ein Keylogger und sendet sie schließlich über Google an die Mailbox des AngreifersFormen. Die Logik hinter dem Namen dieser Malware ist einfach. Alles, was in Nachahmung gemacht wurde, wäre als Faux bekannt, daher wäre eine Nachahmung von Kaspersky Faux – Kaspersky oder Fauxpersky.

Um den Ausführungsprozess dieser Malware zu verstehen, sehen wir uns zunächst ihre verschiedenen Komponenten an:

Keylogger

Google definiert ein Computerprogramm, das jeden Tastenanschlag eines Computernutzers aufzeichnet, insbesondere um betrügerischen Zugriff auf Passwörter und andere vertrauliche Informationen zu erlangen. Bei seiner ursprünglichen Entwicklung diente Keylogger jedoch Eltern, die die Online-Aktivitäten ihrer Kinder überwachen konnten, und Organisationen, bei denen Arbeitgeber feststellen konnten, ob die Mitarbeiter an den ihnen zugewiesenen gewünschten Aufgaben arbeiteten.

Lesen Sie auch:-

So schützen Sie sich vor Keyloggern Keylogger sind gefährlich und um geschützt zu bleiben, muss man die Software immer auf dem neuesten Stand halten, Bildschirmtastaturen verwenden und alle...

AutoHotKey

AutoHotkey ist eine kostenlose , benutzerdefinierte Open-Source- Skriptsprache für Microsoft Windows, die ursprünglich darauf abzielte, einfache Tastenkombinationen oder Hotkeys, schnelle Makroerstellung und Softwareautomatisierung bereitzustellen, die es Benutzern der meisten Computerkenntnisse ermöglicht, sich wiederholende Aufgaben in jeder Windows-Anwendung zu automatisieren. Aus Wikipedia, der freien Enzyklopädie.

Google-Formulare

Google Forms ist eine der Apps, die die Online-Office-Apps-Suite von Google bilden. Es wird verwendet, um eine Umfrage oder einen Fragebogen zu erstellen, der dann an die gewünschte Personengruppe gesendet und deren Antworten zu Analysezwecken in einer einzigen Tabelle festgehalten werden.

Kaspersky

Kaspersky ist eine bekannte russische Antivirus-Marke, die Antivirus-, Internetsicherheits-, Passwortverwaltungs-, Endpunktsicherheitsprodukte und andere Cybersicherheitsprodukte und -dienste entwickelt hat.

Dort heißt es manchmal: „Zu viele gute Dinge können eine große schlechte Sache machen“.

Fauxpersky-Rezept

Fauxpersky wurde mit AutoHotKey (AHK)-Tools entwickelt, die alle vom Benutzer eingegebenen Texte von Windows lesen und Tastenanschläge an andere Anwendungen senden. Die von AHK Keylogger verwendete Methode ist recht einfach; es verbreitet sich durch Selbstreplikationstechnik. Nach der Ausführung auf dem System initiiert es das Speichern aller vom Benutzer eingegebenen Informationen in einer Textdatei, die den Namen des jeweiligen Fensters trägt. Es arbeitet unter einer Maske von Kaspersky Internet Security und sendet alle von den Tastenanschlägen aufgezeichneten Informationen über Google Forms an einen Hacker. Die Methode der Datenextraktion ist ungewöhnlich: Angreifer sammeln sie mithilfe von Google-Formularen von infizierten Systemen, ohne innerhalb der Sicherheitslösungen, die den Datenverkehr analysieren, Zweifel zu aufkommen lassen, da verschlüsselte Verbindungen mit docs.google.com nicht verdächtig aussehen. Nachdem die Liste der Tastenanschläge gesendet wurde, es wird von der Festplatte gelöscht, um eine Erkennung zu verhindern. Sobald das System jedoch infiziert ist, wird die Malware nach dem Neustart des Computers erneut gestartet. Es erstellt auch eine Verknüpfung für sich selbst im Startverzeichnis des Startmenüs.

Fauxpersky: Modus Operandi

Der Prozess der Erstinfektion steht noch nicht fest, aber nachdem die Malware ein System kompromittiert hat, scannt sie alle an den Computer angeschlossenen Wechsellaufwerke und repliziert sich darin. Es erstellt einen Ordner in %APPDATA% mit dem Namen „ Kaspersky Internet Security 2017 “ mit sechs Dateien, von denen vier ausführbar sind und denselben Namen wie die Windows-Systemdatei haben: Explorers.exe, Spoolsvc.exe, Svhost.exe und Taskhosts.exe. Die anderen beiden Dateien sind eine Bilddatei mit dem Kaspersky Antivirus-Logo und eine weitere Datei, die eine Textdatei mit dem Namen „readme.txt“ ist. Die vier ausführbaren Dateien erfüllen unterschiedliche Funktionen:

• Explorers.exe – verbreitet sich von Host-Computern auf angeschlossene externe Laufwerke durch Dateiduplizierung.
• Spoolsvc.exe – Es ändert die Registrierungswerte des Systems, was wiederum den Benutzer daran hindert, alle versteckten und Systemdateien anzuzeigen.
• Svhost.exe- verwendet AHK-Funktionen, um das derzeit aktive Fenster zu überwachen und alle in diesem Fenster eingegebenen Tastenanschläge zu protokollieren.
• Taskhosts.exe – wird für den endgültigen Datenupload verwendet.

Alle in der Textdatei aufgezeichneten Daten werden über Google-Formulare an das Postfach des Angreifers gesendet und aus dem System gelöscht. Zudem wurden die über Google Forms übermittelten Daten bereits verschlüsselt, was Fauxperskys Daten-Uploads in diversen Traffic-Monitoring-Lösungen nicht verdächtig erscheinen lässt.

Dem Cybersicherheitsunternehmen 'Cybereason' wird die Entdeckung dieser Malware zugeschrieben, obwohl sie nicht anzeigt, wie viele Computer infiziert wurden, aber da Fauxperskys Intelligenz durch die altmodische Methode der gemeinsamen Nutzung von USB-Laufwerken verbreitet wird. Sobald Google benachrichtigt wurde, reagierte es sofort, indem es das Formular innerhalb einer Stunde von seinen Servern löschte.

Entfernung

Wenn Sie der Meinung sind, dass Ihr Computer ebenfalls infiziert ist, greifen Sie einfach auf den Ordner „AppData“ zu, geben Sie den Ordner „Roaming“ ein und löschen Sie die Dateien von Kaspersky Internet Security 2017 und das Verzeichnis selbst aus dem Startverzeichnis im Startmenü. Es ist auch ratsam, die Passwörter der Dienste zu ändern, um eine unbefugte Nutzung der Konten zu vermeiden.

Selbst mit der neuesten Anti-Malware, die man mit Geld kaufen kann, wäre es falsch zu glauben, dass unsere persönlichen Daten, die auf unseren Computern gespeichert sind, sicher sind, da Malware häufig von Social-Engineering-Aktivisten auf der ganzen Welt erstellt wird. Die Anti-Malware-Entwickler können die Malware-Definitionen ständig aktualisieren, aber es ist nicht immer möglich, die anomale Software zu erkennen, die von den brillanten Köpfen, die in die Irre gegangen sind, erstellt wurde. Der beste Weg, um eine Infiltration zu verhindern, besteht darin, nur vertrauenswürdige Websites zu besuchen und bei der Verwendung externer Laufwerke äußerste Vorsicht walten zu lassen.