140 bankot fertőzött meg egy kártevő

Kategóriák
Címkék
Doqu Malware Bank Security

A Wired információi szerint a memóriában megbúvó, szinte láthatatlan kártevő közel 140 bankot és más vállalatot fertőzött meg. A Duqu 2.0 az adminisztrátori jelszavakat, felhasználóneveket vadássza le és küldi haza.

Tipikus esetben a vírusok, számítógépes kártevők könnyen követhető nyomot hagynak a megtámadott eszközön. Azonban a rejtőzködő kártevők, mint a Duqu 2.0 a memóriában bújnak meg, így nagyon nehéz őket felfedezni. A kártevő valószínűleg az iráni atomreaktorok megbénítására kidolgozott, amerikai-izraeli fejlesztésű Stuxnet féreg mellékterméke.

A Duqu 2.0 a RAM memóriában megbújva figyeli a vállalati hálózati forgalmat, jelszavakra, felhasználónevekre vadászva. A memóriarezidens kártevő a Windows szervereken futó PowerShell, Metasploit vagy Mimikatz rendszer adminisztrációs és biztonsági eszközök segítségét veszi igénybe.

Rendszereszközöket használ

A kártevőt először 2016 második felében fedezték fel egy banki rendszer átvizsgálásakor. A kódot a Microsoft PowerShell módosított parancsával juttatták be a rendszer írható (RAM) memóriájába. A hekkerek a NETSH hálózati eszköz segítségével küldik ki az adatokat a rendszerből. Ehhez a támadó a Mimikatz használatával ad önmagának adminisztrációs jogokat. A PowerShell parancsokat a Windows registry-ben rejtették el. A támadás során a megfertőzött gépekről adminisztrátor jelszavakat, felhasználóneveket loptak el.

A memóriarezidens kártevő esetében az az aggasztó, hogy a kódot nehezen lehet megtalálni. Ugyanakkor szinte lehetetlen felderíteni, hogy ki állhat a támadások hátterében, ki juttatta el a fertőzést a gép memóriájába. Csak akkor tudunk meg bármit a támadások hátteréről, céljairól, ha az elkövető hacker vagy hackercsoport önként felfedi kilétét.

Figyeljünk a szokatlan tevékenységre

A G Data szakértői szerint az ilyen támadások miatt a rendszergazdáknak monitorozniuk és elemezniük kell az internetes adatforgalmat. Továbbá, ha a rendszerben nem használják a PowerShell szolgáltatást, akkor javasolt azt kikapcsolni. Erre a G DATA Endpoint Protection házirendkezelőjébe épített Application Control is lehetőséget ad.

További cikkek

2024. 04. 23.

9 évet kapott az orosz kémelhárítás egyik vezetője, mert kiberbűnözőktől fogadott el kenőpénzt

Tovább
2024. 03. 19.

MrBeast ingyen pénzt osztogat? Nem.

Tovább
2024. 02. 21.

Az MI barátnők adnak egy pofont az adatvédelemnek

Tovább

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

140 bankot fertőzött meg egy kártevő
A weboldalon sütiket (cookie) használunk, melyek segítenek minket a lehető legjobb szolgáltatások nyújtásában. Weboldalunk további használatával elfogadja Adatkezelési tájékoztatónkat.