Quantcast

sub

23

jul

2016

Legitiman softver korišćen za širenje Trojan virusa Štampa El. pošta
Napisao PCAXE   

Legitiman softver koriscen za sirenje trojan virusaPrilikom istraživanja opasnog bankarskog trojanca Lurk, stučnjaci iz kompanije Kaspersky Lab otkrili su da kriminalci koji stoje iza ovog malvara koriste legalan softver kako bi inficirali metu. U trenucima kada su korisnici instalirali legitiman softver za daljinsko upravljanje sa zvanične veb stranice proizvođača, nesvesno su dopustili malver infekciju svog računara.

Kako bi dodatno distribuirali malver, koristili su različite tehnike, uključujući i „watering hole“ napade, prilikom kojih inficiraju legitimnu veb stranicu i koriste ranjivosti kako bi zarazili PC računare korisnika koji posete tu stranicu. Jedan od primera ovakvog napada, koji je sprovela hakerska grupa Lurk, bio je posebno zanimljiv jer tokom njega nisu korišćene ranjivosti već legitiman softver.

 Dok su obavljali tehničku analizu Lurk virusa, stručnjaci iz kompanije Kaspersky Lab primetili su zanimljiv šablon - mnoge žrtve malvera imale su instaliran softver za daljinski pristup pod nazivom Ammyy Admin. Ova alatka je veoma popularna među administatorima poslovnih sistema, zato što im omogućuju da daljinski rade na IT infrastrukturi njihovih organizacija. Ali kakva je bila veza između ovog alata i malvera?

Legitiman softver koriscen za sirenje trojan virusa 02

Da bi dobili odgovor na ovo pitanje, stručnjaci iz kompanije Kaspersky Lab posetili su zvaničnu veb stranicu Ammyy Admin i pokušali da preuzmu softver. Uspeli su, ali analiza softvera sa stranice je ukazivala na to da će pored legitimnog alata preuzeti i Lurg trojan virus. Strategija je bila prilično jasna: žrtva verovatno ne bi primetila instalaciju malvera zbog prirode softvera sa daljinskim pristupom, koji određena antivirusna rešenja tretiraju kao maliciozna i štetna. Imajući u vidu da IT stručnjaci unutar preduzeća ne obraćaju uvek pažnju na upozorenja sa bezbednosnih rešenja, on bi mogao biti smatran bezbednim, čak i uz upozorenje bezbednosnog rešenja. Oni nisu shvatali da su preuzeli malver i da su dozvolili da on bude instaliran na njihovim uređajima. . Stručnjaci iz kompanije Kaspersky Lab obavestili su vlasnike stranice o incidentu odmah nakon što su ga uočili, a čini se da su oni problem u međuvremenu rešili.

Međutim, početkom aprila 2016. godine, još jedna verzija Lurk trojanca registrovana je na stranici Ammyy Admin. Ovaj put, prevaranti su počeli da distribuiraju modifikovan trojan virus, koji autmatski proverava da li je žrtvin računar deo korporativne mreže. Malver je bio instaliran samo ako je računar bio deo korporativne mreže, što predstavlja usko ciljan napad.

Legitiman softver koriscen za sirenje trojan virusa 01 T

Stručnjaci iz kompanije Kaspersky Lab  ponovo su prijavili ovu sumnjivu aktivnost i dobili odgovor od kompanije da je problem rešen. Međutim, 1. juna 2016. godine, otkriven je trojanac Fareit, novi malver koji je bio postavljen na stranicu. Ovaj put, malver je bio kreiran tako da ukrade lične podatke korisnika. Vlasnici stranice su obavešteni i o ovom incidentu.

U cilju ublažavanja rizika od ove vrste napada, IT stručnjaci i servisi treba konstantno da proveravaju da li postoje ranjivosti unutar njihove organizacije, kao i da koriste pouzdana bezbednosna rešenja i podižu svest o sajber pretnjama među zaposlenima. Proizvodi kompanije Kaspersky Lab otkrili su gore pomenut malver kao Trojan-Spy.Win32.Lurk i Trojan-PSW.Win32.Fareit, a takođe sprečavaju i njegovu instalaciju sa stranice Ammy. U ovom trenutku, veb stranica ne sadrži ovaj malver.

Izvor: Kaspersky Lab

Komentarišite na forumu...