Fauxpersky: มัลแวร์ตัวใหม่เปิดตัวในปี 2018

การแปลงเป็นดิจิทัลได้ปรับปรุงมาตรฐานการครองชีพของเราอย่างมาก ทำให้สิ่งต่างๆ ง่ายขึ้น เร็วขึ้น และเชื่อถือได้ แต่แล้วการรักษาบันทึกทั้งหมดบนคอมพิวเตอร์และการประมวลผลผ่านอินเทอร์เน็ตก็เหมือนกับเหรียญที่มีสองด้านไม่เหมือนกัน ด้วยคุณประโยชน์มากมายนับไม่ถ้วน มีข้อเสียเด่นบางประการโดยเฉพาะแฮกเกอร์และเครื่องมือของแฮกเกอร์ที่รู้ว่าเป็นมัลแวร์ มัลแวร์ใหม่ล่าสุดในกลุ่มมัลแวร์ขนาดใหญ่นี้คือ Fauxpersky แม้ว่ามันจะคล้องจองกับ 'Kaspersky' แอนตี้ไวรัสชื่อดังของรัสเซีย แต่นั่นคือจุดที่เส้นทางของพวกเขาต่างกัน .. Fauxpersky ปลอมตัวเป็น Kaspersky และออกแบบมาเพื่อขโมยข้อมูลผู้ใช้และส่งไปยังแฮกเกอร์ผ่านอินเทอร์เน็ต มันแพร่กระจายผ่านไดรฟ์ USB ติดคอมพิวเตอร์ของผู้ใช้ จับการกดแป้นพิมพ์ทั้งหมดเช่นคีย์ล็อกเกอร์และสุดท้ายส่งไปยังกล่องจดหมายของผู้โจมตีผ่านGoogleแบบฟอร์ม ตรรกะเบื้องหลังชื่อมัลแวร์นี้เรียบง่าย สิ่งที่ทำเลียนแบบจะเรียกว่า Faux ดังนั้นการเลียนแบบของ Kaspersky จะเป็น Faux – Kaspersky หรือ Fauxpersky

เพื่อให้เข้าใจขั้นตอนการทำงานของมัลแวร์นี้ ก่อนอื่นเรามาตรวจสอบส่วนประกอบต่างๆ ของมัลแวร์กัน:

คีย์ล็อกเกอร์

Google กำหนดโปรแกรมคอมพิวเตอร์ที่บันทึกทุกการกดแป้นพิมพ์ของผู้ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่งเพื่อเข้าถึงรหัสผ่านและข้อมูลลับอื่นๆ ที่เป็นการฉ้อโกง อย่างไรก็ตาม เมื่อได้รับการออกแบบในขั้นต้น Keylogger มีวัตถุประสงค์เพื่อผู้ปกครองที่สามารถตรวจสอบกิจกรรมออนไลน์ของลูกๆ และองค์กรที่นายจ้างสามารถระบุได้ว่าพนักงานกำลังทำงานที่ต้องการที่ได้รับมอบหมายหรือไม่

อ่านเพิ่มเติม:-

วิธีป้องกันตนเองจากคีย์ล็อกเกอร์ Keyloggers นั้นอันตรายและเพื่อให้ได้รับการปกป้อง เราจะต้องอัปเดตซอฟต์แวร์อยู่เสมอ ใช้แป้นพิมพ์บนหน้าจอ และปฏิบัติตาม...

AutoHotKey

AutoHotkey เป็นภาษาสคริปต์ที่กำหนดเองแบบโอเพนซอร์สฟรีสำหรับ Microsoft Windows โดยเริ่มแรกมุ่งเป้าไปที่การใช้แป้นพิมพ์ลัดหรือปุ่มลัดอย่างง่าย การสร้างมาโครที่รวดเร็ว และระบบอัตโนมัติของซอฟต์แวร์ ที่ช่วยให้ผู้ใช้ระดับทักษะคอมพิวเตอร์ส่วนใหญ่ทำงานซ้ำๆ โดยอัตโนมัติในแอปพลิเคชัน Windows ใดๆ จากวิกิพีเดีย สารานุกรมเสรี

Google ฟอร์ม

Google ฟอร์มเป็นหนึ่งในแอปที่สร้างชุดแอปสำนักงานออนไลน์ของ Google ใช้เพื่อสร้างแบบสำรวจหรือแบบสอบถามซึ่งจะถูกส่งไปยังกลุ่มคนที่ต้องการและคำตอบของพวกเขาจะถูกบันทึกไว้ในสเปรดชีตเดียวเพื่อการวิเคราะห์

Kaspersky

Kaspersky เป็นเครื่องหมายการค้าแอนตี้ไวรัสของรัสเซียที่รู้จักกันดี ซึ่งได้พัฒนาโปรแกรมป้องกันไวรัส ความปลอดภัยทางอินเทอร์เน็ต การจัดการรหัสผ่าน การรักษาความปลอดภัยปลายทาง และผลิตภัณฑ์และบริการความปลอดภัยทางไซเบอร์อื่นๆ

มีคำกล่าวที่ว่า "สิ่งดี ๆ มากเกินไป อาจทำให้สิ่งเลวร้ายใหญ่ ๆ เกิดขึ้นได้"

สูตร Fauxpersky

Fauxpersky ได้รับการพัฒนาโดยใช้เครื่องมือ AutoHotKey (AHK) ซึ่งอ่านข้อความทั้งหมดที่ผู้ใช้ป้อนจาก Windows และส่งการกดแป้นพิมพ์ไปยังแอปพลิเคชันอื่น วิธีการที่ AHK keylogger ใช้นั้นค่อนข้างตรงไปตรงมา มันแพร่กระจายผ่านเทคนิคการจำลองตัวเอง เมื่อดำเนินการบนระบบแล้ว จะเริ่มต้นการจัดเก็บข้อมูลทั้งหมดที่ผู้ใช้พิมพ์ลงในไฟล์ข้อความที่มีชื่อหน้าต่างที่เกี่ยวข้อง มันทำงานภายใต้หน้ากากของ Kaspersky Internet Security และส่งข้อมูลทั้งหมดที่บันทึกไว้จากการกดแป้นพิมพ์ไปยังแฮ็กเกอร์ผ่าน Google ฟอร์ม วิธีการดึงข้อมูลเป็นเรื่องผิดปกติ: ผู้โจมตีจะรวบรวมพวกเขาจากระบบที่ติดไวรัสโดยใช้แบบฟอร์มของ Google โดยไม่ทำให้เกิดข้อสงสัยใดๆ ในโซลูชันความปลอดภัยที่วิเคราะห์การรับส่งข้อมูล เนื่องจากการเชื่อมต่อที่เข้ารหัสกับ docs.google.com นั้นดูไม่น่าสงสัย เมื่อส่งรายการการกดแป้นแล้ว จะถูกลบออกจากฮาร์ดไดรฟ์เพื่อป้องกันการตรวจจับ อย่างไรก็ตาม เมื่อระบบติดไวรัส มัลแวร์จะบู๊ตอีกครั้งหลังจากรีสตาร์ทคอมพิวเตอร์ นอกจากนี้ยังสร้างทางลัดสำหรับตัวเองในไดเร็กทอรีเริ่มต้นของเมนูเริ่ม

Fauxpersky: Modus Operandi

กระบวนการของการติดไวรัสเริ่มต้นยังไม่ได้กำหนด แต่หลังจากที่มัลแวร์บุกรุกระบบ มันจะสแกนไดรฟ์แบบถอดได้ทั้งหมดที่เชื่อมต่อกับคอมพิวเตอร์และจำลองตัวเองในไดรฟ์เหล่านั้น มันสร้างโฟลเดอร์ใน %APPDATA% โดยใช้ชื่อ “ Kaspersky Internet Security 2017 ” โดยมีหกไฟล์ โดยสี่ไฟล์นั้นสามารถเรียกใช้งานได้และมีชื่อเดียวกับไฟล์ระบบ Windows: Explorers.exe, Spoolsvc.exe, Svhost.exe และ Taskhosts.exe. อีกสองไฟล์เป็นไฟล์รูปภาพที่มีโลโก้แอนตี้ไวรัส Kaspersky และอีกไฟล์หนึ่งซึ่งเป็นไฟล์ข้อความชื่อ 'readme.txt' ไฟล์ปฏิบัติการสี่ไฟล์ทำหน้าที่ต่างกัน:

• Explorers.exe – กระจายจากเครื่องโฮสต์ไปยังไดรฟ์ภายนอกที่เชื่อมต่อผ่านการทำซ้ำไฟล์
• Spoolsvc.exe - มันเปลี่ยนค่ารีจิสทรีของระบบซึ่งจะป้องกันไม่ให้ผู้ใช้ดูไฟล์ที่ซ่อนอยู่และไฟล์ระบบทั้งหมด
• Svhost.exe-ใช้ฟังก์ชัน AHK เพื่อตรวจสอบหน้าต่างที่ใช้งานอยู่ในปัจจุบันและบันทึกการกดแป้นใด ๆ ที่ป้อนลงในหน้าต่างนั้น
• Taskhosts.exe – ใช้สำหรับอัพโหลดข้อมูลขั้นสุดท้าย

ข้อมูลทั้งหมดจะถูกบันทึกไว้ในไฟล์ข้อความจะถูกส่งไปยังกล่องจดหมายของผู้โจมตีผ่าน Google ฟอร์มและจะถูกลบออกจากระบบ นอกจากนี้ ข้อมูลที่ส่งผ่าน Google ฟอร์มได้รับการเข้ารหัสแล้ว ซึ่งทำให้การอัปโหลดข้อมูลของ Fauxpersky ดูเหมือนจะไม่น่าสงสัยในโซลูชันการตรวจสอบการรับส่งข้อมูลต่างๆ

'Cybereason' บริษัทรักษาความปลอดภัยทางไซเบอร์ให้เครดิตกับการค้นพบมัลแวร์นี้และแม้ว่าจะไม่ได้ระบุว่ามีคอมพิวเตอร์กี่เครื่องที่ติดไวรัส แต่เนื่องจากความฉลาดของ Fauxpersky นั้นแพร่กระจายผ่านวิธีการแชร์ไดรฟ์ USB ที่ล้าสมัย เมื่อ Google ได้รับแจ้งแล้ว Google จะตอบกลับโดยทันทีโดยนำแบบฟอร์มออกจากเซิร์ฟเวอร์ภายในหนึ่งชั่วโมง

การกำจัด

หากคุณรู้สึกว่าคอมพิวเตอร์ของคุณติดไวรัสด้วย เพียงเข้าไปที่โฟลเดอร์ 'AppData' และเข้าสู่โฟลเดอร์ 'Roaming' และลบไฟล์ที่เกี่ยวข้องกับ Kaspersky Internet Security 2017 และไดเร็กทอรีเองจากไดเร็กทอรีเริ่มต้นที่อยู่ในเมนูเริ่ม ขอแนะนำให้แก้ไขรหัสผ่านของบริการเพื่อหลีกเลี่ยงการใช้บัญชีโดยไม่ได้รับอนุญาต

แม้แต่กับมัลแวร์ใหม่ล่าสุด เงินสามารถซื้อได้ คงจะผิดที่คิดว่าข้อมูลส่วนบุคคลของเราที่จัดเก็บไว้ในคอมพิวเตอร์ของเรานั้นปลอดภัย เพราะมัลแวร์มักถูกสร้างขึ้นโดยนักเคลื่อนไหวด้านวิศวกรรมสังคมทั่วโลก นักพัฒนาซอฟต์แวร์ป้องกันมัลแวร์สามารถอัปเดตคำจำกัดความของมัลแวร์ต่อไปได้ แต่ก็ไม่เสมอไปที่จะตรวจพบซอฟต์แวร์ผิดปกติ 100% ที่สร้างขึ้นโดยจิตใจที่ฉลาดเฉลียวซึ่งหลงทาง วิธีที่ดีที่สุดในการป้องกันการแทรกซึมคือการเยี่ยมชมเว็บไซต์ที่เชื่อถือได้เท่านั้น และระมัดระวังอย่างยิ่งในขณะที่ใช้ไดรฟ์ภายนอก