Hirdetés

Veszélyes trójai támadja a PC-ket

|

A PowerShellt és fájlnélküli végrehajtási mechanizmusokat használó Ursnif trójaival végrehajtott új támadási hullámra figyelmeztetnek biztonsági kutatók. A támadások egy részében a GrandCrab zsarolóvírussal is megfertőzik a számítógépeket.

Az Ursnif, más néven Dreambot már jó ideje garázdálkodik a kibertérben, eleinte e-mail és banki bejelentkezési adatok böngészőkből való ellopására szakosodott. Időközben azonban kibővítették a funkcionalitását, és mostanában már más tipusú rosszindulatú programok célba juttatására is felhasználják a hackerek.

Így például a Carbon Black kutatói felfedeztek egy, az Ursnifet terjesztő spam kampányt, amely a GrandCrab zsarolóprogrammal fertőzi meg az áldozatokat. A támadás rosszindulatú makró szkripteket tartalmazó Word-dokumentum mellékletekkel ellátott spam e-mailekkel indul. A makrókban álcázásként szemét kód található, de úgy tervezték őket, hogy végrehajtsanak egy kódolt PowerShell utasítást, amelyet egy, a dokumentumban lévő objektum Alternate Text mezőjében helyeztek el.

Hirdetés

A dokumentum-makrókat és PowerShell szkripteket előszeretettel használják a kiberbűnözők rosszindulatú programok telepítésére, mivel ezek a funkciók a Windowsban és a Microsoft Office-ban alapértelmezésben engedélyezve vannak. Az Ursnif PowerShell szkriptje egy parancs és vezérlő szerverről letölt egy programot, amely közvetlenül a memóriában hajtódik végre. A második letöltött kód beillesztődik a PowerShell folyamatba, míg a harmadik letöltés nem más, mint az online alvilági piactereken megvásárolható GrandCrab zsarolóprogram 5.0.4-es változata.

A Cisco-féle Talos csoport kutatói ugyancsak elemezték a mostanában futó Ursnip kampányokat: megállapították, hogy a trójai nem csak rosszindulatú kódokat tölt be közvetlenül a memóriába, hanem az újraindítások után is életképes marad, méghozzá fájlnélküli megvalósításban. Ezt úgy éri el, hogy egy kódolt PowerShell utasítást helyez el egy regisztrációsadatbázis-kulcsban, és később futtatja azt a Windows Management Instrumentation Command-line (WMIC) segítségével.

A rosszindulatú program CAB fájlokban tárolja az ellopott adatokat, és titkosított HTTPS kapcsolaton keresztül küldi el őket a parancs és vezérlő szerverre, megnehezítve ezáltal az adatszivárgást megakadályozó megoldások számára a forgalom észlelését.

Mivel az Ursnif fájlnélküli technikákat használ, komoly nehézséget okoz a hagyományos antivírus módszerekkel kiszűrni a forgalmát a normál forgalomból, állapították meg a Talos kutatói.

Hirdetés
Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra » Advertisement

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.