Salasanan varastaja piiloutuu maksutiedostoon ja etsii käyttöoikeustietoja

Lukuaika: 3 pöytäkirja

Tietoverkkorikollisten suuri metsästys käyttäjien valtakirjoihin on vauhdissa nopeasti. Heidän strategiansa pysyy yleensä samana: kiinnitä uhrin huomio, käytä sosiaalisen suunnittelun tekniikoita saadakseen hänet ajamaan haitallista tiedostoa ja varastamaan kirjautumistunnukset ja salasanat. Mutta taktiikka ja haittaohjelmat hakkerit käyttävät jatkuvasti muutoksia. Tarkastellaan yksityiskohtaisimmin tuoreinta esimerkkiä tällaisesta hyökkäyksestä uuden version salasananvarastimella, jonka Comodo on äskettäin siepannut.

Naamio

Kuten näette, se sisältää muutamia sosiaalisen suunnittelun temppuja uhrien manipuloimiseksi. Katsotaanpa niitä lähemmin.

Ensinnäkin, se on viestin aihe. Harvinainen ihminen kaipaisi rahaa koskevia tietoja. Siksi tekijät saavat uhrit huomion. He voivat olla varmoja, että suurin osa vastaanottajista lukee viestin.

Seuraavaksi verkkorikolliset nimittivät tiedoston “PAYMENT- PDF” lisäämällä uskottavuutta (itse asiassa se on .ZIP-arkisto, mutta monet muut kuin tekniset ihmiset eivät ehkä huomaa sitä). Sitten, jäljitelläkseen aitoutta, he lisäävät kuvan pankkiteleksikopiosta. Kuva on tuhannen sanan arvoinen, joten se kasvattaa myös uhrin mahdollisuuksia avata tiedosto.

Katsotaanpa nyt, mitä "MAKSU- PDF" -palvelussa piilotetaan todellisuudessa?

Haittaohjelma

Kuten Comodo-analyytikot paljastivat, ”PAYMENT-PDF” on .html-tiedosto, joka sisältää hävitetyn VBScript-tiedoston. Jos käyttäjä suorittaa sen, skripti lataa ja suorittaa kannettavan suoritettavan tiedoston hdoc.duckdns.org:1133/PAYMENT.exe

Ja haittaohjelma tulee toimimaan salaisesti tartunnan saaneessa koneessa. Ensinnäkin se haihduttaa tietoja tietokoneeseen asennetuista sovelluksista. Se valitsee ensin selaimet ja yrittää poimia niistä kirjautumistunnukset, salasanat ja muut yksityiset tiedot.

Erityisesti haittaohjelmahyökkäykset iso joukko selaimia: Mozilla Firefox, IceDragon, Safari, K-Meleon, SeaMonkey, Flock, BlackHawk, Chrome, Nichrome, RockMeIt, Spark, Chromium, Titan Browser, Torch, Yandex, Epic, Vivaldi, Chromodo, Superbird, Coowon , Mustang, 360Browser, Citrio, Orbitum, Iridium, Opera, QupZilla ja muut.

Sen jälkeen se lukee kunkin sovelluksen datatiedostot löytääkseen kaikki järjestelmään tallennetut FTP- ja SSH-tilit. Tarkemmin sanottuna, se kohdistaa sovellukset MyFTP, FTPBox, sherrodFTP, FTP Now, Xftp, EasyFTP, SftpNetDrive, AbleFTP, JaSFtp, FTPInfo, LinasFTP, Filezilla, Staff-FTP, ALFTP, WinSCP, FTPGetter, SmartFTP ja muut.

Lopuksi haittaohjelma etsii useista sähköpostiohjelmista - FoxMail, Thunderbird, PocoMail, IncrediMail, Outlook jne. - poimiakseen tilitietoja niistä.

Kun kaikki tiedot on kerätty, salasanan varastaja lähettää ne tietoverkkorikollisten palvelimelle hta.duckdns.org/excel/fre.php.

Ja se on surullinen lopullinen. Nyt kaikki uhrin valtakirjat ovat hyökkääjien käsissä, eikä hänellä ole edes arvausta siitä. Valitettavasti kun hän on huomannut, mitä tapahtui, voi olla jo liian myöhäistä suorittaa pelastustoimia ...

Lämpökartta ja hyökkäyksen yksityiskohdat

Kuten näette, verkkorikolliset suorittivat hyökkäyksen italialaisesta IP 80.211.7.236 IP: stä sähköpostitse “hnym.hnyemei@gmail.com”. Hyökkäys alkoi 18. huhtikuuta 2018 kello 14:28 UTC ja päättyi 20. huhtikuuta 2018 klo 07:23 UTC.

” Comodo Q1 2018 -raportti huomautimme salasanan varastajien noususta, ja tapaus vahvistaa tämän suuntauksen kasvavan edelleen. Tällainen haittaohjelma ei ole suunnittelussaan liian hienostunut, mutta seurauksiltaan erittäin vaarallinen ”, kommentoi Comodon johtaja Fatih Orhan Uhkatutkimuslaboratoriot. ”Sneaky-käytöksensä ansiosta hyökkääjät pystyivät toimimaan pahanlaatuisella toiminnallaan salaa, joten uhrit eivät aina ole tietoisia hakkereista, kunnes tekijät käyttävät varastettuja valtakirjoja.

On parempi huolehtia suojauksesta etukäteen estääksesi verkkoasi tai tietokoneesi haittaohjelmien murtautumiselta kuin pahoillani siitä, että et tee sitä myöhemmin. Se, joka valmistautuu paremmin, voittaa taistelun. Se on vain tapaus. Comodo-tekniikat suojelivat asiakkaitamme hyökkäyksiltä ja saivat tietoverkkorikolliset poistumaan tyhjillä taskuilla ”.

Elää turvallisesti Comodon kanssa!

ALOITA ILMAINEN KOKEILU SAA VAKAA TURVALLISUUSKORTTI ILMAISEKSI

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://blog.comodo.com/email-security/password-stealer-hides-and-hunts-for-credentials/