A G DATA egy új adatlopó alkalmazást fedezett fel. Az Ailurophile Stealert PHP-ben kódolták, és a forráskód vietnámi származást jelez. A kártékony keretrendszert előfizetéses modellben értékesítik saját weboldalon keresztül. A kiberbűnözők személyre szabhatják, és rosszindulatú programokat generálhatnak.
Az adatlopó webes paneljén keresztül bepillantást kapunk a keretrendszer működésébe, ami számos lehetőséget kínál kártevők létrehozására. Bizonyos funkciók csak „magasabb szintű” előfizetéssel rendelkező felhasználók számára érhetők el, olvasható a G Data blogján.
A testreszabási lehetőségek közé tartozik a rosszindulatú program elnevezése, egy ikon kiválasztása és a Telegram-csatorna beállítása, amely értesítéseket kap, ha sikeres információlopás történt. A további lehetőségek közé tartozik a kártevő észlelésének megnehezítése, a Windows Defender letiltása és egy extra rosszindulatú komponens telepítése egy megadott URL-ről.
Mindez jól illusztrálja, hogyan működik jelenleg a kártevők piaca: csak maroknyian fejlesztenek kártékony keretrendszereket, majd ezeket felhőalapú szolgáltatásként bérbe adják különböző bűnözőcsoportoknak. A panel következő része összefoglalót mutat arról, hogy mely gazdagépek fertőződtek meg, és megjeleníti az előfizető számára ellopott információk mennyiségét.
Viszi a jelszavakat és a kártyák adatait
A megtámadott böngészők közé tartozik a Chrome, az Edge, a Brave, a Yandex, az Opera és a CocCoc. A létrehozott kártevők a következő információkat lophatják el ezekből:
- Automatikus kitöltési információk
- Sütik
- Tárolt jelszavak
- Böngészési előzmények
- Tárolt hitelkártya-adatok
- Tárcaadatok a böngészők pénztárca-bővítményeiből
- Ezenkívül a rendszerrel létrehozott rosszindulatú programok olyan fájlokat lopnak el, amelyek a nevükben meghatározott kulcsszavakat tartalmaznak, adott kiterjesztéssel rendelkeznek, és a könyvtárak egy meghatározott csoportjában találhatók.
A kártékony keretrendszer technikai áttekintése
Az Ailurophile Stealer egésze PHP-ben van megírva. Ez megköveteli, hogy az áldozat gépe képes legyen PHP-kód futtatására, ami nem megszokott. Ezért a rosszindulatú program egy végrehajtható fájlba kerül egy kereskedelmi forgalomban kapható, harmadik féltől származó „ExeOutput” nevű szoftver segítségével. A rosszindulatú programot emellett virtualizálják a BoxedApp segítségével, egy szintén kereskedelmi forgalomban kapható szoftverrel.
A BoxedApp egy önállóan végrehajtható állomány létrehozására szolgál, ami saját virtuális fájlrendszerrel, virtuális nyilvántartással és folyamatokkal is rendelkezik. A BoxedApp alkalmazáskód elfogja az alkalmazásból érkező I/O- és egyéb rendszerhívásokat, és átirányítja azokat az általa létrehozott megfelelő virtuális entitásokhoz.
Amikor a rosszindulatú program fut, a BoxedApp alkalmazáskód is lefut, és kibontja a szükséges fájlokat a virtuális fájlrendszerbe (a fájlok ebben az esetben memóriarezidensek). A fájlok tartalmazzák a PHP feldolgozómodulját és a futtatáshoz szükséges fájlokat, valamint a konfigurációs és a kártékony összetevőket.
Ezek után a kód összegyűjti a felhasználói adatokat, beleértve az IP-címet, a gazdagép nevét, az operációs rendszer adatait és a gép architektúráját. Érdekes mappákat, fájlnév-kulcsszavakat, fájlkiterjesztéseket, pénztárcaadat-könyvtárakat és böngészőútvonalakat keres a gépen.
Ezután kezdeményezi a hitelkártyaadatok, a sütik, a böngészési előzmények, az automatikus kitöltési információk és a pénztárcaadatok összegyűjtését. Az összegyűjtött információkat tömöríti és feltölti a konfigurációban megadott távoli szerverre.
A G DATA a kártevő technikai leírásában további részleteket is megad, amelyek elsősorban a kiberbiztonsággal foglalkozó szakemberek számára érdekesek.
Érdemes vigyázni: jelszavakra és bankkártyaadatokra is lecsaphat egy új kártevő
Bizalmas információkat, jelszavakat, bankkártyaadatokat és más dokumentumokat is ellophat egy új internetes kártevő, amit elsősorban illegális szoftverekkel és felnőtt-tartalmakkal terjesztenek – elővigyázatossággal azonban könnyen ki lehet kerülni.
Egy eddig nem ismert adatlopó alkalmazás látott napvilágot, ami a látszólagosnál is nagyobb problémát jelenthet, a szoftver ugyanis nem egy egyszerű app – azt a kiberbűnözők a kedvük szerint személyre szabhatják, hogy újabb rosszindulatú programokat generáljanak vele, amiket aztán tovább terjeszthetnek. Az alkalmazás veszélyeire a G Data nevezetű számítógép-biztonsági cég szakértői hívták fel a figyelmet, akik szerint az Ailurophile Stealer névre hallgató adatlopó szoftver könnyen elérhető, webes felülete miatt kiemelten veszélyes.
Ahhoz, hogy valaki használni tudja az Ailurophile Stealert, elő kell fizetnie a „szolgáltatásra”. A sikeres tranzakció után a felhasználónak lehetősége lesz a generált rosszindulatú program elnevezésére, de akár egy tetszőleges ikont is választhat.
Ezeken felül a szoftver lehetőséget ad arra is, hogy a felhasználó beállítson egy külön Telegram-csatornát arra az esetre, ha a generált kártevő sikeres adatlopást végez el, hogy aztán oda továbbíthassa a megszerzett információkat. A vállalat szerint az Ailurophile Stealernek több előfizetési szintje van. Ahhoz például, hogy valaki olyan „képességekkel” vértezze fel a kártevőjét, mint például a megnehezített észlelés vagy a Windows Defender célzott kikerülése, ahhoz a legmagasabb csomagra kell előfizetni. Azután azonban, hogy a felhasználó a webes felülettel megtervezte saját kártevőjét, azt kezd vele, amit csak szeretne – ott terjeszti, ahol csak tudja.
A G Data szerint egyébként a legtöbb esetben illegális, feltört szoftverekkel és felnőtt-tartalmakkal juttatják fel a számítógépekre/telefonokra a kártevőt, ami aztán akár a készüléken tárolt jelszavakhoz és bankkártyaadatokhoz is hozzáférhet.
Néha a biztonságosnak vélt helyen is veszély leselkedhet ránk
Ahogy arról korábban az Index is beszámolt, van úgy, hogy az átverések mellett a Google Play-ből letöltött alkalmazások is kártevőkkel fertőzöttek – bár ezeket viszonylag hamar szűri a Google. Fontos azonban megjegyezni, hogy annak ellenére, hogy a vállalat kitiltja a malware-rel ellátott alkalmazást az áruházából, a már letöltött alkalmazások tovább funkcionálhatnak, így rendkívül fontos, hogy ezeket ilyen esetekben törölje. Legutóbb például hat olyan alkalmazást töröltek le a platformról, amelyek trójai vírussal voltak fertőzve. Ezek a következő neveken voltak elérhetők:
Rafaqat رفاقت (hírek),
Privee Talk (üzenetküldés),
MeetMe (üzenetküldés),
Let’s Chat (üzenetküldés),
Quick Chat (üzenetküldés),
Chit Chat (üzenetküldés).
A rossz tehát mindenhol ott sántikál, így érdemes rendkívül körültekintőnek lenni. A szakértők azt tanácsolják, hogy az adatlopások megelőzése érdekében különböző erős, egyedi, legalább 15-20 karakteres jelszavakat használjunk, és soha ne mentsük el személyes és pénzügyi adatainkat online fiókokban, böngészőkben. Emellett ugyancsak fontos, hogy képesek legyünk felismerni az átveréseket, ezzel megakadályozva, hogy az olyan vírusok, mint például az XLoader, kárt tegyenek készülékünkben. Amennyiben teheti valaki, csak a gyártók által támogatott alkalmazásáruházakból töltsön le appokat, és azok közül is csak olyanokat használjon, amik javarészt pozitív értékelésekkel rendelkeznek.