home

หน้าแรก
 Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> ความปลอดภัยของเครือข่าย

Fauxpersky:มัลแวร์ตัวใหม่เปิดตัวในปี 2018

การแปลงเป็นดิจิทัลได้ปรับปรุงมาตรฐานการครองชีพของเราอย่างมาก ทำให้สิ่งต่างๆ ง่ายขึ้น เร็วขึ้น และเชื่อถือได้ แต่แล้วการรักษาบันทึกทั้งหมดบนคอมพิวเตอร์และการประมวลผลผ่านอินเทอร์เน็ตก็เหมือนกับเหรียญที่มีสองด้านไม่เหมือนกัน ด้วยคุณประโยชน์มากมายนับไม่ถ้วน มีข้อเสียเด่นบางประการโดยเฉพาะแฮกเกอร์และเครื่องมือของแฮกเกอร์ที่รู้ว่าเป็นมัลแวร์ มัลแวร์ใหม่ล่าสุดในกลุ่มมัลแวร์ขนาดใหญ่นี้คือ Fauxpersky แม้ว่ามันจะคล้องจองกับ 'Kaspersky' แอนตี้ไวรัสชื่อดังของรัสเซีย แต่นั่นคือจุดที่เส้นทางของพวกเขาต่างกัน .. Fauxpersky ปลอมตัวเป็น Kaspersky และออกแบบมาเพื่อขโมยข้อมูลผู้ใช้และส่งไปยังแฮกเกอร์ผ่านอินเทอร์เน็ต มันแพร่กระจายผ่านไดรฟ์ USB ติดไวรัสคอมพิวเตอร์ของผู้ใช้ จับการกดแป้นพิมพ์ทั้งหมดเช่นคีย์ล็อกเกอร์ และสุดท้ายส่งไปยังกล่องจดหมายของผู้โจมตีผ่าน Google ฟอร์ม ตรรกะเบื้องหลังชื่อมัลแวร์นี้เรียบง่าย สิ่งที่ทำเลียนแบบจะเรียกว่า Faux ดังนั้นการเลียนแบบของ Kaspersky จะเป็น Faux – Kaspersky หรือ Fauxpersky

เพื่อให้เข้าใจขั้นตอนการทำงานของมัลแวร์นี้ ก่อนอื่นเรามาตรวจสอบส่วนประกอบต่างๆ ของมัลแวร์กัน:

คีย์ล็อกเกอร์

Google กำหนดโปรแกรมคอมพิวเตอร์ที่บันทึกทุกการกดแป้นพิมพ์ของผู้ใช้คอมพิวเตอร์ โดยเฉพาะอย่างยิ่งเพื่อเข้าถึงรหัสผ่านและข้อมูลลับอื่นๆ ที่เป็นการฉ้อโกง อย่างไรก็ตาม เมื่อได้รับการออกแบบในขั้นต้น Keylogger มีวัตถุประสงค์เพื่อผู้ปกครองที่สามารถตรวจสอบกิจกรรมออนไลน์ของบุตรหลานและองค์กรที่นายจ้างสามารถระบุได้ว่าพนักงานกำลังทำงานที่ต้องการที่ได้รับมอบหมายหรือไม่

AutoHotKey

AutoHotkey เป็นภาษาสคริปต์ที่กำหนดเองแบบโอเพนซอร์สฟรีสำหรับ Microsoft Windows โดยเริ่มแรกมุ่งเป้าไปที่การใช้แป้นพิมพ์ลัดหรือปุ่มลัดอย่างง่าย การสร้างมาโครที่รวดเร็ว และระบบอัตโนมัติของซอฟต์แวร์ที่ช่วยให้ผู้ใช้ระดับทักษะการใช้คอมพิวเตอร์ส่วนใหญ่ทำงานซ้ำๆ โดยอัตโนมัติในแอปพลิเคชัน Windows ใดๆ จากวิกิพีเดีย สารานุกรมเสรี

Google ฟอร์ม

Google ฟอร์มเป็นหนึ่งในแอปที่สร้างชุดแอปสำนักงานออนไลน์ของ Google ใช้เพื่อสร้างแบบสำรวจหรือแบบสอบถามซึ่งจะถูกส่งไปยังกลุ่มคนที่ต้องการและคำตอบของพวกเขาจะถูกบันทึกไว้ในสเปรดชีตเดียวเพื่อการวิเคราะห์

แคสเปอร์สกี้

Kaspersky เป็นเครื่องหมายการค้าแอนตี้ไวรัสของรัสเซียที่รู้จักกันดี ซึ่งได้พัฒนาโปรแกรมป้องกันไวรัส ความปลอดภัยทางอินเทอร์เน็ต การจัดการรหัสผ่าน การรักษาความปลอดภัยปลายทาง และผลิตภัณฑ์และบริการด้านความปลอดภัยทางไซเบอร์อื่นๆ

มีบางครั้งที่กล่าวว่า "สิ่งดีมากเกินไปสามารถทำให้สิ่งเลวร้ายใหญ่".

สูตรลับเฉพาะ

Fauxpersky ได้รับการพัฒนาโดยใช้เครื่องมือ AutoHotKey (AHK) ซึ่งอ่านข้อความทั้งหมดที่ผู้ใช้ป้อนจาก Windows และส่งการกดแป้นพิมพ์ไปยังแอปพลิเคชันอื่น วิธีการที่ AHK keylogger ใช้นั้นค่อนข้างตรงไปตรงมา มันแพร่กระจายผ่านเทคนิคการจำลองตัวเอง เมื่อดำเนินการบนระบบแล้ว จะเริ่มต้นการจัดเก็บข้อมูลทั้งหมดที่ผู้ใช้พิมพ์ลงในไฟล์ข้อความที่มีชื่อหน้าต่างที่เกี่ยวข้อง มันทำงานภายใต้หน้ากากของ Kaspersky Internet Security และส่งข้อมูลทั้งหมดที่บันทึกไว้จากการกดแป้นพิมพ์ไปยังแฮ็กเกอร์ผ่าน Google ฟอร์ม วิธีการดึงข้อมูลเป็นเรื่องผิดปกติ:ผู้โจมตีจะรวบรวมพวกเขาจากระบบที่ติดไวรัสโดยใช้แบบฟอร์มของ Google โดยไม่ทำให้เกิดข้อสงสัยใดๆ ในโซลูชันความปลอดภัยที่วิเคราะห์การรับส่งข้อมูล เนื่องจากการเชื่อมต่อที่เข้ารหัสกับ docs.google.com นั้นดูไม่น่าสงสัย เมื่อส่งรายการการกดแป้นพิมพ์แล้ว จะถูกลบออกจากฮาร์ดไดรฟ์เพื่อป้องกันการตรวจจับ อย่างไรก็ตาม เมื่อระบบติดไวรัส มัลแวร์จะบู๊ตอีกครั้งหลังจากรีสตาร์ทคอมพิวเตอร์ นอกจากนี้ยังสร้างทางลัดสำหรับตัวเองในไดเร็กทอรีเริ่มต้นของเมนูเริ่มด้วย

Fauxpersky:Modus Operandi

กระบวนการของการติดไวรัสเริ่มต้นยังไม่ได้กำหนด แต่หลังจากที่มัลแวร์บุกรุกระบบ มันจะสแกนไดรฟ์แบบถอดได้ทั้งหมดที่เชื่อมต่อกับคอมพิวเตอร์และจำลองตัวเองในไดรฟ์เหล่านั้น มันสร้างโฟลเดอร์ใน %APPDATA% โดยใช้ชื่อ “Kaspersky Internet Security 2017 ” ซึ่งมีหกไฟล์ โดยสี่ไฟล์สามารถเรียกใช้งานได้และมีชื่อเดียวกับไฟล์ระบบ Windows:Explorers.exe, Spoolsvc.exe, Svhost.exe และ Taskhosts.exe อีกสองไฟล์เป็นไฟล์รูปภาพที่มีโลโก้แอนตี้ไวรัส Kaspersky และอีกไฟล์หนึ่งซึ่งเป็นไฟล์ข้อความชื่อ 'readme.txt' ไฟล์สั่งการสี่ไฟล์ทำหน้าที่ต่างกัน:

  • Explorers.exe – กระจายจากเครื่องโฮสต์ไปยังไดรฟ์ภายนอกที่เชื่อมต่อผ่านการทำซ้ำไฟล์
  • Spoolsvc.exe – มันเปลี่ยนค่ารีจิสตรีของระบบซึ่งจะป้องกันไม่ให้ผู้ใช้ดูไฟล์ที่ซ่อนอยู่และไฟล์ระบบทั้งหมด
  • Svhost.exe- ใช้ฟังก์ชัน AHK เพื่อตรวจสอบหน้าต่างที่ใช้งานอยู่ในปัจจุบันและบันทึกการกดแป้นพิมพ์ที่ป้อนลงในหน้าต่างนั้น
  • Taskhosts.exe – ใช้สำหรับอัพโหลดข้อมูลขั้นสุดท้าย

ข้อมูลทั้งหมดจะถูกบันทึกไว้ในไฟล์ข้อความจะถูกส่งไปยังกล่องจดหมายของผู้โจมตีผ่าน Google ฟอร์มและจะถูกลบออกจากระบบ นอกจากนี้ ข้อมูลที่ส่งผ่าน Google ฟอร์มได้รับการเข้ารหัสแล้ว ซึ่งทำให้การอัปโหลดข้อมูลของ Fauxpersky ดูไม่น่าสงสัยในโซลูชันการตรวจสอบการรับส่งข้อมูลต่างๆ

'Cybereason' บริษัทรักษาความปลอดภัยทางไซเบอร์ให้เครดิตกับการค้นพบมัลแวร์นี้และแม้ว่าจะไม่ได้ระบุว่ามีคอมพิวเตอร์กี่เครื่องที่ติดไวรัส แต่เนื่องจากความฉลาดของ Fauxpersky นั้นแพร่กระจายผ่านวิธีการแชร์ไดรฟ์ USB ที่ล้าสมัย เมื่อ Google ได้รับแจ้งแล้ว Google จะตอบกลับโดยทันทีโดยนำแบบฟอร์มออกจากเซิร์ฟเวอร์ภายในหนึ่งชั่วโมง

เอาออก

หากคุณรู้สึกว่าคอมพิวเตอร์ของคุณติดไวรัสด้วย เพียงเข้าไปที่โฟลเดอร์ 'AppData' และเข้าสู่โฟลเดอร์ 'Roaming' และลบไฟล์ที่เกี่ยวข้องกับ Kaspersky Internet Security 2017 และไดเร็กทอรีเองจากไดเร็กทอรีเริ่มต้นที่อยู่ในเมนูเริ่ม นอกจากนี้ยังแนะนำให้แก้ไขรหัสผ่านของบริการเพื่อหลีกเลี่ยงการใช้บัญชีโดยไม่ได้รับอนุญาต

แม้แต่กับมัลแวร์ใหม่ล่าสุด เงินสามารถซื้อได้ คงจะผิดหากคิดว่าข้อมูลส่วนบุคคลของเราที่จัดเก็บไว้ในคอมพิวเตอร์ของเรานั้นปลอดภัย เพราะมัลแวร์มักถูกสร้างขึ้นโดยนักเคลื่อนไหวด้านวิศวกรรมสังคมทั่วโลก นักพัฒนาซอฟต์แวร์ป้องกันมัลแวร์สามารถอัปเดตคำจำกัดความของมัลแวร์ต่อไปได้ แต่ก็ไม่เสมอไปที่จะตรวจพบซอฟต์แวร์ผิดปกติ 100% ที่สร้างขึ้นโดยจิตใจที่ฉลาดเฉลียวซึ่งหลงทาง วิธีที่ดีที่สุดในการป้องกันการแทรกซึมคือการเยี่ยมชมเว็บไซต์ที่เชื่อถือได้เท่านั้นและระมัดระวังเป็นพิเศษขณะใช้ไดรฟ์ภายนอก