140 bankot fertőzött meg egy kártevő

A Wired információi szerint a memóriában megbúvó, szinte láthatatlan kártevő közel 140 bankot és más vállalatot fertőzött meg. A Duqu 2.0 az adminisztrátori jelszavakat, felhasználóneveket vadássza le és küldi haza.

Tipikus esetben a vírusok, számítógépes kártevők könnyen követhető nyomot hagynak a megtámadott eszközön. Azonban a rejtőzködő kártevők, mint a Duqu 2.0 a memóriában bújnak meg, így nagyon nehéz őket felfedezni. A kártevő valószínűleg az iráni atomreaktorok megbénítására kidolgozott, amerikai-izraeli fejlesztésű Stuxnet féreg mellékterméke.

A Duqu 2.0 a RAM memóriában megbújva figyeli a vállalati hálózati forgalmat, jelszavakra, felhasználónevekre vadászva. A memóriarezidens kártevő a Windows szervereken futó PowerShell, Metasploit vagy Mimikatz rendszer adminisztrációs és biztonsági eszközök segítségét veszi igénybe.

Rendszereszközöket használ

A kártevőt először 2016 második felében fedezték fel egy banki rendszer átvizsgálásakor. A kódot a Microsoft PowerShell módosított parancsával juttatták be a rendszer írható (RAM) memóriájába. A hekkerek a NETSH hálózati eszköz segítségével küldik ki az adatokat a rendszerből. Ehhez a támadó a Mimikatz használatával ad önmagának adminisztrációs jogokat. A PowerShell parancsokat a Windows registry-ben rejtették el. A támadás során a megfertőzött gépekről adminisztrátor jelszavakat, felhasználóneveket loptak el.

A memóriarezidens kártevő esetében az az aggasztó, hogy a kódot nehezen lehet megtalálni. Ugyanakkor szinte lehetetlen felderíteni, hogy ki állhat a támadások hátterében, ki juttatta el a fertőzést a gép memóriájába. Csak akkor tudunk meg bármit a támadások hátteréről, céljairól, ha az elkövető hacker vagy hackercsoport önként felfedi kilétét.

Figyeljünk a szokatlan tevékenységre

A G Data szakértői szerint az ilyen támadások miatt a rendszergazdáknak monitorozniuk és elemezniük kell az internetes adatforgalmat. Továbbá, ha a rendszerben nem használják a PowerShell szolgáltatást, akkor javasolt azt kikapcsolni. Erre a G DATA Endpoint Protection házirendkezelőjébe épített Application Control is lehetőséget ad.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük