Objavljeno: 20.7.2016 10:30

Nov domiseln način širjenja trojanskih konjev

Raziskovalci iz Kaspersky Laba poročajo o novem domiselnem načinu za širjenje trojanskih konjev, ki so ga v zadnjih mesecih uporabljali pisci zlonamernega programa Lurk. Za lažji dostop do tarčnih računalnikov so ga skrili kar v legitimno programsko opremo za oddaljen nadzor računalnika.

Napadalci so vdrli na spletno stran Ammyy Admin, ki ponuja povsem legitimen program za oddaljen nadzor računalnika, podobno kot TeamViewer ali Remote Desktop v Windows, in tam spremenili gumb za prenos. Vnesli so košček kode, ki je namesto Ammyy Admin na računalnik prenesel spremenjeno, nepodpisano izvršljivo datoteko. To je bil v bistvu wrapper, ki je imel poleg Ammyy Admina še namestitveni program za Lurk, ki se je namestil v ozadju. Ta zlonamerni paket na spletni strani ni bil dostopen ves čas, ampak vsak zgolj nekaj ur. To se je dogajalo od februarja, potem pa so aprila program spremenili tako, da je preveril, ali je računalnik del kakšnega službenega omrežja in se le v tem primeru namestil. To kaže, da so merili na podjetja in organizacije.

Ta način napada je posebej domiseln zato, ker marsikdo kljub nameščenemu protivirusnemu programu in opozorilu vseeno namesti program, misleč da gre za lažni pozitivni zadetek zaradi orodja za oddaljen nadzor. Pisci Lurka so bili aretirani 1. junija in tedaj se je wrapper spremenil, tako da v paketu ponuja drug kos zlonamerne programske opreme z imenom Fareit. To kaže, da so na spletno stran Ammyy Admin vdrli drugi akterji, ki zgolj prodajajo ta vektor napada najvišjemu ponudniku – najprej Lurku, sedaj pa Fareitu.

Kaspersky

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji