Fauxpersky: een nieuwe malware uitgebracht in 2018

Digitalisering heeft onze levensstandaard aanzienlijk verbeterd, waardoor het makkelijker, sneller en betrouwbaarder wordt. Maar dan is het bijhouden van alle records op de computer en het verwerken via internet als een munt met twee verschillende kanten. Met talloze voordelen zijn er een paar opmerkelijke nadelen, vooral hackers en hun tools die bekend staan ​​als malware. De nieuwste toevoeging aan deze grote malwarefamilie is Fauxpersky. Hoewel het rijmt op de beroemde Russische antivirus 'Kaspersky', maar daar lopen hun paden uiteen. Fauxpersky vermomt zichzelf als Kaspersky en is ontworpen om gebruikersinformatie te stelen en via internet naar hackers te sturen. Het verspreidt zich via USB-drives, infecteert de computer van de gebruiker, legt alle toetsaanslagen vast als een keylogger en stuurt het uiteindelijk naar de mailbox van de aanvaller via Googleformulieren. De logica achter de naam van deze malware is eenvoudig. Alles wat in imitatie is gemaakt, zou bekend staan ​​als Faux, dus imitatie van Kaspersky zou Faux zijn - Kaspersky of Fauxpersky.

Om het uitvoeringsproces van deze malware te begrijpen, bekijken we eerst de verschillende componenten ervan:

Keylogger

Google definieert een computerprogramma dat elke toetsaanslag van een computergebruiker registreert, met name om frauduleuze toegang te krijgen tot wachtwoorden en andere vertrouwelijke informatie. Toen Keylogger aanvankelijk werd ontworpen, diende het echter een doel voor ouders die de online activiteiten van hun kinderen konden volgen en voor organisaties waar werkgevers konden bepalen of de werknemers aan de gewenste taken werkten die aan hen waren toegewezen.

Lees ook:-

Hoe u uzelf kunt beschermen tegen keyloggers Keyloggers zijn gevaarlijk en om beschermd te blijven moet u de software altijd up-to-date houden, schermtoetsenborden gebruiken en alle...

Autosneltoets

AutoHotkey is een gratis , open-source aangepaste scripttaal voor Microsoft Windows, in eerste instantie gericht op het bieden van gemakkelijke sneltoetsen of sneltoetsen, het snel maken van macro's en software-automatisering waarmee gebruikers van de meeste computervaardigheden repetitieve taken in elke Windows-toepassing kunnen automatiseren. Van Wikipedia, de gratis encyclopedie.

Google Formulieren

Google Formulieren is een van de apps die de online Office-app-suite van Google vormen. Het wordt gebruikt om een ​​enquête of vragenlijst te maken die vervolgens naar de gewenste groep mensen wordt verzonden en hun antwoorden worden voor analytische doeleinden in één spreadsheet vastgelegd.

Kaspersky

Kaspersky is een bekend Russisch antivirushandelsmerk dat antivirus, internetbeveiliging, wachtwoordbeheer, eindpuntbeveiliging en andere cyberbeveiligingsproducten en -diensten heeft ontwikkeld.

Daar, zoals wel eens wordt gezegd: "Te veel goede dingen kunnen een grote slechte zaak maken".

Fauxpersky Recept

Fauxpersky is ontwikkeld met behulp van AutoHotKey (AHK)-tools die alle teksten lezen die door de gebruiker vanuit Windows zijn ingevoerd en toetsaanslagen naar andere applicaties sturen. De methode die wordt gebruikt door AHK keylogger is vrij eenvoudig; het verspreidt zich door middel van zelfreplicatietechniek. Eenmaal uitgevoerd op het systeem, begint het met het opslaan van alle informatie die door de gebruiker is getypt in een tekstbestand met de naam van het betreffende venster. Het werkt onder een masker van Kaspersky Internet Security en stuurt alle informatie die is vastgelegd vanaf de toetsaanslagen naar een hacker via Google Formulieren. De methode voor het extraheren van gegevens is ongebruikelijk: aanvallers verzamelen ze van geïnfecteerde systemen met behulp van Google-formulieren zonder enige twijfel te veroorzaken binnen de beveiligingsoplossingen die verkeer analyseren, aangezien versleutelde verbindingen met docs.google.com er niet verdacht uitzien. Zodra de lijst met toetsaanslagen is verzonden, het wordt van de harde schijf verwijderd om detectie te voorkomen. Zodra het systeem echter is geïnfecteerd, wordt de malware opnieuw opgestart nadat de computer opnieuw is opgestart. Het maakt ook een snelkoppeling voor zichzelf aan in de opstartmap van het menu Start.

Fauxpersky: Modus Operandi

Het proces van initiële infectie is nog niet bepaald, maar nadat de malware een systeem heeft gecompromitteerd, scant het alle verwisselbare schijven die op de computer zijn aangesloten en repliceert zichzelf daarin. Het maakt een map aan in %APPDATA% met de naam " Kaspersky Internet Security 2017 " met zes bestanden, waarvan er vier uitvoerbaar zijn en dezelfde naam hebben als het Windows-systeembestand: Explorers.exe, Spoolsvc.exe, Svhost.exe en Taskhosts.exe. De andere twee bestanden zijn een afbeeldingsbestand met het Kaspersky antivirus-logo en een ander bestand dat een tekstbestand is met de naam 'readme.txt'. De vier uitvoerbare bestanden hebben verschillende functies:

• Explorers.exe – verspreidt zich van hostmachines naar aangesloten externe schijven door middel van bestandsduplicatie.
• Spoolsvc.exe - Het wijzigt de registerwaarden van het systeem, wat op zijn beurt voorkomt dat de gebruiker alle verborgen en systeembestanden kan bekijken.
• Svhost.exe- gebruikt AHK-functies om het huidige actieve venster te bewaken en eventuele toetsaanslagen in dat venster te loggen.
• Taskhosts.exe – wordt gebruikt voor de laatste gegevensupload.

Alle gegevens die in het tekstbestand worden vastgelegd, worden via Google-formulieren naar de mailbox van de aanvaller gestuurd en van het systeem verwijderd. Bovendien zijn de gegevens die via Google Formulieren worden verzonden, al versleuteld, waardoor de gegevensuploads van Fauxpersky niet verdacht lijken in verschillende oplossingen voor verkeersmonitoring.

Cyberbeveiligingsbedrijf 'Cybereason' wordt gecrediteerd voor het ontdekken van deze malware en hoewel het niet aangeeft hoeveel computers zijn geïnfecteerd, maar gezien het feit dat de intelligentie van Fauxpersky wordt verspreid via de ouderwetse methode om USB-drives te delen. Nadat Google op de hoogte was gesteld, reageerde het onmiddellijk door het formulier binnen een uur van zijn servers te verwijderen.

Verwijdering

Als u denkt dat uw computer ook geïnfecteerd is, gaat u gewoon naar de map 'AppData' en gaat u naar de map 'Roaming' en verwijdert u de bestanden met betrekking tot Kaspersky Internet Security 2017 en de map zelf uit de opstartmap in het startmenu. Het is ook raadzaam om de wachtwoorden van de services te wijzigen om ongeoorloofd gebruik van de accounts te voorkomen.

Zelfs met de nieuwste antimalware kun je geld kopen. Het zou verkeerd zijn om te denken dat onze persoonlijke informatie die op onze computers is opgeslagen veilig is, omdat malware vaak wordt gemaakt door social engineering-activisten over de hele wereld. De antimalware-ontwikkelaars kunnen de malwaredefinities blijven bijwerken, maar het is niet altijd 100% mogelijk om de afwijkende software te detecteren die is gemaakt door de briljante geesten die op een dwaalspoor zijn geraakt. De beste manier om een ​​infiltratie te voorkomen, is door alleen vertrouwde websites te bezoeken en uiterst voorzichtig te zijn bij het gebruik van externe schijven.