В днешния си доклад AT&T Alien Labs твърди, че прокси мрежата с 400 000 възела е изградена чрез използване на зловредни товари, които доставят прокси приложението.
Въпреки че компанията, стояща зад ботнета, твърди, че потребителите са дали съгласието си, изследователите откриват, че проксито се инсталира безшумно на устройствата.
„Въпреки че уебсайтът на проксито твърди, че изходните му възли идват само от потребители, които са били информирани и са се съгласили с използването на тяхното устройство, Alien Labs разполага с доказателства, че авторите на зловреден софтуер инсталират проксито безшумно в заразените системи“, заявяват от AT&T Alien Labs
„Освен това, тъй като приложението на проксито е подписано, то няма антивирусна детекция, минавайки под радара на решенията за сигурност“, добавят изследователите.
Същата компания контролира изходните възли, създадени от зловреден полезен товар, наречен AdLoad, който е насочен към системи с MacOS, за което AT&T съобщи миналата седмица.
Всъщност двете базирани на Go двоични програми (за macOS и Windows) изглежда произхождат от един и същ изходен код, обаче прокси клиентът за Windows избягва антивирусното откриване поради използването на валидна цифроваподпис. сигнатура.
Заразяването започва с изпълнението на зареждащ модул, скрит в кракнат софтуер и игри, който изтегля и инсталира прокси приложението автоматично във фонов режим без взаимодействие с потребителя.
Авторите на зловредния софтуер използват Inno Setup със специфични параметри, които скриват всякакви индикатори за процеса на инсталиране и всички типични за потребителя подкани.
По време на инсталирането на прокси клиента злонамереният софтуер изпраща специфични параметри, които се предават и на сървъра за командване и контрол (C2), за да може новият клиент да бъде регистриран и включен в ботнета.
Прокси клиентът установява постоянство в заразената система чрез създаване на ключ в системния регистър, който да го активира при стартиране на системата, и чрез добавяне на планирана задача, която да проверява за нови актуализации на клиента.
„След това прокси сървърът непрекъснато събира важна информация от машината, за да осигури оптимална производителност и бърза реакция“, се обяснява в доклада на AT&T.
„Това включва всичко – от списъка с процеси и наблюдение на процесора до използването на паметта и дори проследяване на състоянието на батерията.“
AT&T препоръчва да се търси изпълнимият файл „Digital Pulse“ в „%AppData%\“ или ключ от регистъра с подобно име в „HKCU\Software\Microsoft\Windows\CurrentVersion\Run\“. Ако има такива, изследователите препоръчват да ги премахнете.
Името на планираната задача е „DigitalPulseUpdateTask“ и също трябва да бъде изтрита, за да се елиминира вероятността механизмът за обновяване на клиента да въведе отново инфекцията.
И накрая, избягвайте изтеглянето на пиратски софтуер и стартирането на изпълними файлове, получени от съмнителни места като peer-to-peer мрежи или сайт, предлагащ безплатен първокласен софтуер.
Признаците за заразяване с прокси софтуер включват намаляване на производителността и скоростта на интернет, неочаквани модели на мрежовия трафик, честа комуникация с непознати IP адреси или домейни и системни предупреждения.
Изходна нформация и инфографики: AT&T
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.