Fauxpersky: nowe złośliwe oprogramowanie wydane w 2018 r.

Cyfryzacja znacznie poprawiła nasz standard życia, czyniąc wszystko łatwiejszym, szybszym i niezawodnym. Ale przechowywanie wszystkich danych na komputerze i przetwarzanie przez Internet jest jak moneta o dwóch odmiennych stronach. Z niezliczonymi korzyściami, istnieje kilka znaczących wad, zwłaszcza hakerów i ich narzędzi znanych jako złośliwe oprogramowanie. Najnowszym dodatkiem do tej dużej rodziny złośliwego oprogramowania jest Fauxpersky. Chociaż rymuje się ze słynnym rosyjskim programem antywirusowym „Kaspersky”, ale właśnie tam ich ścieżki się rozchodzą. Fauxpersky przebiera się za Kaspersky i ma na celu kradzież informacji o użytkownikach i wysyłanie ich hakerom przez Internet. Rozprzestrzenia się przez dyski USB, infekując komputer użytkownika, przechwytując wszystkie naciśnięcia klawiszy jak keylogger i ostatecznie wysyłając je do skrzynki pocztowej osoby atakującej za pośrednictwem GoogleFormularze. Logika stojąca za nazwą tego złośliwego oprogramowania jest prosta. Wszystko wykonane w imitacji byłoby znane jako Faux, stąd imitacja Kaspersky byłaby Faux – Kaspersky lub Fauxpersky.

Aby zrozumieć proces wykonywania tego złośliwego oprogramowania, przyjrzyjmy się najpierw jego różnym komponentom:

Rejestrator kluczy

Google definiuje program komputerowy, który rejestruje każde naciśnięcie klawisza wykonane przez użytkownika komputera, zwłaszcza w celu uzyskania fałszywego dostępu do haseł i innych poufnych informacji. Jednak początkowo zaprojektowany Keylogger służył rodzicom, którzy mogli monitorować aktywność online swoich dzieci, oraz organizacjom, w których pracodawcy mogli określić, czy pracownicy pracują nad przydzielonymi im zadaniami.

Przeczytaj także:-

Jak chronić się przed keyloggerami Keyloggery są niebezpieczne i aby zachować ochronę, należy zawsze aktualizować oprogramowanie, używać klawiatur ekranowych i przestrzegać wszystkich...

AutoHotKey

AutoHotkey to darmowy , niestandardowy język skryptowy typu open source dla systemu Microsoft Windows, początkowo mający na celu zapewnienie łatwych skrótów klawiaturowych lub skrótów klawiszowych, szybkiego tworzenia makr i automatyzacji oprogramowania, która pozwala użytkownikom na większości poziomów umiejętności komputerowych zautomatyzować powtarzalne zadania w dowolnej aplikacji systemu Windows. Z Wikipedii, darmowej encyklopedii.

Formularze Google

Formularze Google to jedna z aplikacji, które tworzą pakiet aplikacji biurowych Google online. Służy do tworzenia ankiety lub kwestionariusza, który jest następnie wysyłany do pożądanej grupy osób, a ich odpowiedzi zapisywane są w jednym arkuszu kalkulacyjnym w celach analitycznych.

Kaspersky

Kaspersky jest dobrze znanym rosyjskim znakiem towarowym antywirusowym, który opracował oprogramowanie antywirusowe, zabezpieczenia internetowe, zarządzanie hasłami, zabezpieczenia punktów końcowych oraz inne produkty i usługi związane z cyberbezpieczeństwem.

Tam, jak to się czasem mówi, „Zbyt wiele dobrych rzeczy może zrobić wielką złą rzecz”.

Przepis Fauxpersky

Fauxpersky został opracowany przy użyciu narzędzi AutoHotKey (AHK), które czytają wszystkie teksty wprowadzone przez użytkownika z systemu Windows i wysyłają naciśnięcia klawiszy do innych aplikacji. Metoda używana przez keyloggera AHK jest dość prosta; rozprzestrzenia się dzięki technice samoreplikacji. Po uruchomieniu w systemie, inicjuje zapisywanie wszystkich informacji wpisanych przez użytkownika w pliku tekstowym z nazwą odpowiedniego okna. Działa pod maską Kaspersky Internet Security i wysyła wszystkie informacje zarejestrowane z naciśnięć klawiszy do hakera za pośrednictwem Formularzy Google. Metoda ekstrakcji danych jest rzadkością: atakujący zbierają je z zainfekowanych systemów za pomocą formularzy Google, nie budząc żadnych wątpliwości w ramach rozwiązań bezpieczeństwa analizujących ruch, ponieważ zaszyfrowane połączenia z docs.google.com nie wyglądają podejrzanie. Po wysłaniu listy naciśnięć klawiszy, jest usuwany z dysku twardego, aby zapobiec wykryciu. Jednak po zainfekowaniu systemu złośliwe oprogramowanie zostanie ponownie uruchomione po ponownym uruchomieniu komputera. Tworzy również skrót dla siebie w katalogu startowym menu Start.

Fauxpersky: Modus Operandi

Proces początkowej infekcji nie został jeszcze określony, ale gdy złośliwe oprogramowanie zhakuje system, skanuje wszystkie dyski wymienne podłączone do komputera i replikuje się na nich. Tworzy folder w %APPDATA% o nazwie „ Kaspersky Internet Security 2017 ” z sześcioma plikami, z których cztery są wykonywalne i mają taką samą nazwę jak plik systemowy Windows: Explorers.exe, Spoolsvc.exe, Svhost.exe i Taskhosts.exe. Pozostałe dwa pliki to plik obrazu z logo programu antywirusowego Kaspersky oraz inny plik, który jest plikiem tekstowym o nazwie „readme.txt”. Cztery pliki wykonywalne pełnią różne funkcje:

• Explorers.exe – rozprzestrzenia się z maszyn hosta na podłączone dyski zewnętrzne poprzez duplikację plików.
• Spoolsvc.exe - Zmienia wartości rejestru systemu, co z kolei uniemożliwia użytkownikowi przeglądanie wszystkich ukrytych i systemowych plików.
• Svhost.exe- używa funkcji AHK do monitorowania aktualnie aktywnego okna i rejestrowania wszelkich naciśnięć klawiszy wprowadzonych w tym oknie.
• Taskhosts.exe – służy do końcowego przesyłania danych.

Wszystkie dane zapisane w pliku tekstowym zostaną przesłane na skrzynkę pocztową atakującego za pośrednictwem formularzy Google i zostaną usunięte z systemu. Ponadto dane przesyłane za pośrednictwem Google Forms zostały już zaszyfrowane, co sprawia, że ​​przesyłane przez Fauxpersky dane nie wydają się podejrzane w różnych rozwiązaniach do monitorowania ruchu.

Firma Cybereason zajmująca się cyberbezpieczeństwem przypisuje się odkryciu tego szkodliwego oprogramowania i chociaż nie wskazuje ona, ile komputerów zostało zainfekowanych, ale biorąc pod uwagę, że inteligencja Fauxpersky'ego rozprzestrzenia się za pomocą staromodnej metody udostępniania dysków USB. Po otrzymaniu powiadomienia firma Google natychmiast odpowiedziała, usuwając formularz ze swoich serwerów w ciągu godziny.

Usuwanie

Jeśli uważasz, że Twój komputer jest również zainfekowany, po prostu przejdź do folderu „AppData”, wejdź do folderu „Roaming” i usuń pliki związane z Kaspersky Internet Security 2017 oraz sam katalog z katalogu startowego znajdującego się w menu Start. Wskazane jest również zmodyfikowanie haseł serwisów, aby uniknąć nieautoryzowanego korzystania z kont.

Nawet przy najnowszym oprogramowaniu antymalware, które można kupić za pieniądze, błędem byłoby sądzić, że nasze dane osobowe przechowywane na naszych komputerach są bezpieczne, ponieważ złośliwe oprogramowanie jest często tworzone przez aktywistów socjotechniki na całym świecie. Twórcy oprogramowania chroniącego przed złośliwym oprogramowaniem mogą aktualizować definicje złośliwego oprogramowania, ale nie zawsze jest w stanie w 100% wykryć nietypowe oprogramowanie stworzone przez błyskotliwe umysły, które zbłądziły. Najlepszym sposobem zapobiegania infiltracji jest odwiedzanie tylko zaufanych witryn internetowych i zachowanie szczególnej ostrożności podczas korzystania z dysków zewnętrznych.