6.7.2018 11:40 | Bezpečnosť

Odhalili sofistikovaný malvér. Buď začne ťažiť menu alebo zašifruje súbory

Modulárny vírus môže kedykoľvek získať ďalšie nebezpečné funkcie. ilustračná snímka.
Najviac infikovaných zariadení bolo lokalizovaných v Rusku (ilustračná snímka). Zdroj: Shutterstock‎

Na základe vopred definovaných podmienok sa spustí konkrétny typ útoku.

Internetom sa šíri nový variant malvéru, ktorý sa takpovediac sám rozhodne, aký typ infekcie bude najefektívnejší. Jeho súčasťou sú totiž tri samostatné moduly zodpovedné buď za ťažbu virtuálnej meny alebo inštaláciu vydieračského vírusu. Tretí modul slúži na ďalšiu distribúciu v rámci lokálnej siete.

Detailné informácie o hrozbe zverejnila bezpečnostná spoločnosť Kaspersky Lab na svojom blogu.

Trendom je generovanie meny a vydieranie

Počítačoví útočníci neustále hľadajú rôzne spôsoby, ktorými by sa mohli obohatiť na úkor nič netušiacich používateľov. Nie je preto prekvapením, že medzi najrozšírenejšie hrozby súčasnosti patria vydieračské vírusy a škodlivé kódy ťažiace virtuálnu menu. Ich efektivita je však diskutabilná.

Bežný používateľ totiž zrejme nezaplatí niekoľkotisícové výkupné napríklad za zašifrované fotky z dovolenky. Naopak, pre nadnárodnú firmu ide spravidla o zanedbateľnú čiastku vzhľadom na dôsledky vyplývajúce zo straty dôležitých obchodných dát.

ikona Google Gmail
Čítajte aj Vaše správy v Gmaili môže čítať niekto iný. Vraj je to v poriadku

Podobná situácia je aj pri škodlivých kódoch ťažiacich virtuálnu menu. Mnoho ľudí totiž stále využíva slabšie počítače či notebooky, ktoré výkonom nijako neohromujú. Generovanie virtuálnej meny tak nemá na podobnom zariadení hlbší zmysel.

Toho sú si zrejme vedomí aj kybernetickí zločinci, ktorí dômyselne spojili obidve hrozby do jednej.

Falošný PDF dokument infikuje počítač

Malvér s názvom „Rakhni“ sa šíri vo forme nevyžiadaných e-mailov, ktoré obsahujú nebezpečnú prílohu. Spravidla ide o dokument s príponou *.docx, v ktorom je údajne vnorený PDF súbor. V skutočnosti však ide o spustiteľný (*.exe) súbor, ktorý infikuje zariadenie.

Miera rozšírenia škodlivého kódu. fotogaléria / 3
Miera rozšírenia škodlivého kódu. Zdroj: Kaspersky Lab

Ak nič netušiaci používateľ tento nebezpečný dokument spustí, tak v prvej fáze prebehne niekoľko kontrol. Škodlivý kód napríklad analyzuje bežiace procesy, zistí či nejde o virtuálny stroj a napokon porovná názov počítača a verejnú IP adresu s vopred definovanými hodnotami.

Cieľom uvedeného opatrenia je zabrániť bezpečnostným výskumníkom v analýze malvéru.

Zašifruje peňaženku pre bitcoiny

Následne sa aktivuje takzvaný rozhodovací test. Ak sa v počítači nachádza adresár „Bitcoin“ v umiestnení %AppData%, tak sa aktivuje modul vydieračského vírusu.

Je zrejmé, že útočníci idú na istotu, pretože sa v uvedenom adresári spravidla nachádza aj virtuálna peňaženka. Používateľ, ktorému vírus zašifruje peňaženku s niekoľkými bitcoinami zaplatí s vysokou pravdepodobnosťou požadované výkupné. V opačnom prípade by totiž prišiel o zrejme dosť vysoký obnos peňazí.

Typy súborov, ktoré vydieračský vírus zašifruje. fotogaléria / 3
Typy súborov, ktoré vydieračský vírus zašifruje. Zdroj: Kaspersky Lab

Okrem peňaženky sa zašifrujú aj populárne typy súborov (napríklad *.jpg, *.zip, *.docx a podobne). Obeť je napokon vyzvaná, aby kontaktovala útočníkov, ktorí jej povedia výšku výkupného, ako aj ďalšie inštrukcie.

Na slabom počítači sa ťažba nespustí

V prípade, ak sa v počítači nenachádza adresár s názvom „Bitcoin“, tak prebehne kontrola zameraná na identifikáciu logických procesorov. Keď sú dostupné viac ako dva logické procesory, spustí sa ťažba virtuálnej meny.

Foto: Ján Trangel
Čítajte aj Ďalšia chyba v LTE sieťach: Útočníci môžu podsúvať škodlivé stránky

Tentoraz k tomu slúži nástroj MinerGate, prostredníctvom ktorého sa generujú meny ako Monero (XMR), Monero Original (XMO) a Dashcoin (DSH).

Ak sa v počítači nachádza iba jeden logický procesor a súčasne neexistuje adresár „Bitcoin“, spustí sa tretí modul. Ten vyhľadá počítače v lokálnej sieti, ktoré sa pokúsi infikovať. Celá schéma útoku sa napokon zopakuje na novom hostiteľovi.

Aby toho nebolo málo, súčasťou malvéru sú aj triviálne špionážne prvky. Na server útočníkov sa totiž odosiela zoznam bežiacich procesov a snímky obrazovky z infikovaného počítača.

Diskusia 4 Príspevkov