Oglas

S vremena na vrijeme nova se inačica zlonamjernog softvera pojavljuje kao brzi podsjetnik da sigurnosni ulozi uvijek rastu. Trojanski QakBot / Pinkslipbot bankarski trojan je jedan od njih. Zlonamjerni softver, koji nije zadovoljavajući prikupljanje bankovnih vjerodajnica, sada može ostati i upravljati poslužiteljem - dugo nakon što sigurnosni proizvod prestane s prvobitnom svrhom.

Kako OakBot / Pinkslipbot ostaje aktivan? I kako to možete u potpunosti ukloniti iz svog sustava?

QakBot / Pinkslipbot

Ovaj bankarski trojanac ide pod dva imena: QakBot i Pinkslipbot. Sam zlonamjerni softver nije nov. Prvi je put uveden krajem 2000-ih, ali još uvijek uzrokuje probleme desetljeće kasnije. Sada je Trojan dobio ažuriranje koje produžava zlonamjerne aktivnosti, čak i ako sigurnosni proizvod smanjuje svoju izvornu svrhu.

Zaraz koristi univerzalni plug-and-play (UPnP) kako bi otvorio portove i omogućio dolazne veze od bilo koga na internetu. Pinkslipbot se zatim koristi za skupljanje vjerodajnica u bankarstvu. Uobičajeni niz zlonamjernih alata: keylogger, lozinka, MITM napadi preglednika, krađa digitalnih certifikata, FTP i POP3 vjerodajnice i još mnogo toga. Zlonamjerni softver kontrolira botnet koji procjenjuje da sadrži preko 500 000 računala. (

instagram viewer
Što je uopće botnet? Je li vaše računalo zombi? I što je zombi računalo, uopće? [MakeUseOf objašnjava]Jeste li se ikad zapitali odakle dolazi sva internetska neželjena pošta? Vjerojatno svakodnevno primate stotine neželjene e-pošte filtrirane od neželjene pošte. Znači li to da stotine i tisuće ljudi vani sjede ... Čitaj više )

Zlonamjerni softver uglavnom je usmjeren na američki bankarski sektor, a 89 posto zaraženih uređaja pronađeno je u riznici, korporaciji ili komercijalnim bankarskim objektima.

infekcija bankarskog sektora pinkslipbot
Kreditna slika: IBM X-Force

Nova varijanta

Istraživači u McAfee Labs otkriven nova Pinkslipbot varijanta.

„Budući da UPnP pretpostavlja da su lokalne aplikacije i uređaji pouzdani, on ne nudi zaštitnu zaštitu i sklon je zlouporabi od strane bilo kojeg zaraženih uređaja na mreži. Primijetili smo više proxyja Pinkslipbot kontrolnog poslužitelja koji se nalaze na odvojenim računalima u istom domu mrežu, kao i ono što se čini javnim Wi-Fi žarištem ”, kaže McAfee istraživač protiv zlonamjernog softvera Sanchit Karve. "Koliko znamo, Pinkslipbot je prvi zlonamjerni softver koji koristi zaražene strojeve kao kontrolni poslužitelj temeljen na HTTPS-u, a drugi zlonamjerni softver temeljen na izvršnom programu koji upotrebljava UPnP za prosljeđivanje porta nakon prijenosa zloglasni crv Conficker u 2008. godini. "

Slijedom toga, McAfee istraživački tim (i drugi) pokušavaju točno utvrditi kako zaraženi stroj postaje proxy. Istraživači vjeruju da tri faktora igraju značajnu ulogu:

  1. IP adresa nalazi se u Sjevernoj Americi.
  2. Internet veza velike brzine.
  3. Mogućnost otvaranja portova na internetskom gatewayu pomoću UPnP.

Na primjer, zlonamjerni softver preuzima sliku putem Comcast-ove usluge Speed ​​Test kako bi dvostruko provjerio postoji li dovoljna propusnost.

Nakon što Pinkslipbot nađe prikladan ciljni stroj, zlonamjerni softver izdaje paket Simple Protocol Discovery Protocol koji traži internetske prolaze (IGD). Zauzvrat, IGD provjerava se povezanost, pri čemu pozitivan rezultat vidi stvaranje pravila za prosljeđivanje porta.

Kao rezultat, nakon što autor zlonamjernog softvera odluči je li stroj pogodan za infekciju, trojanski binarni datoteke preuzimaju i raspoređuju. Za ovo je odgovoran proxy komunikacija upravljačkog poslužitelja.

Teško za brisanje

Čak i ako je vaš antivirusni ili anti-malware program uspješno otkrio i uklonio QakBot / Pinkslipbot, postoji šansa da i dalje služi kao proxy kontrolnog poslužitelja za zlonamjerni softver. Vaše računalo može i dalje biti ranjivo, a da vi to ne shvatate.

"Pravila za prosljeđivanje portova koje je stvorio Pinkslipbot previše su općenita za automatsko uklanjanje bez riskiranja slučajnih pogrešnih konfiguracija. A kako se većina zlonamjernog softvera ne miješa u prosljeđivanje porta, rješenja protiv zlonamjernog softvera možda neće poništiti takve promjene ", kaže Karve. "Nažalost, to znači da je vaše računalo još uvijek ranjivo na vanjske napade, čak i ako je vaš antimalware proizvod uspješno uklonio sve binarne datoteke Pinkslipbot iz vašeg sustava."

Zlonamjerni softver sadrži značajke crva Virusi, špijunski softver, zlonamjerni softver itd. Objašnjeno: Razumijevanje internetskih prijetnjiKada počnete razmišljati o svim stvarima koje bi mogle poći po zlu prilikom pretraživanja Interneta, web počinje izgledati kao prilično zastrašujuće mjesto. Čitaj više , što znači da se može samostalno kopirati putem zajedničkih mrežnih pogona i drugih prijenosnih medija. Prema IBM-ovim istraživačima X-Force, uzrokovalo je blokadu Active Directory-a (AD), prisiljavajući zaposlenike pogođenih bankarskih organizacija izvan mreže satima.

Kratki vodič za uklanjanje

McAfee je izdao Alat za otkrivanje proxy-a i poslužitelja za uklanjanje proxy Pinkslipbot Control Server (ili PCSPDPFRT, ukratko... šalim se). Alat je dostupan za preuzimanje upravo ovdje. Nadalje, dostupan je kratki korisnički priručnik ovdje [PDF].

Nakon što preuzmete alat, desnom tipkom miša kliknite i Pokreni kao administrator.

Alat automatski pretražuje vaš sustav u "načinu otkrivanja". Ako nema zlonamjerne aktivnosti, alat će se automatski zatvoriti bez promjene u konfiguraciji vašeg sustava ili usmjerivača.

pinkslipbot alat za uklanjanje proxy poslužitelja za uklanjanje mcafee

Međutim, ako alat otkrije zlonamjeran element, jednostavno ga možete upotrijebiti /del naredba za onemogućavanje i uklanjanje pravila za prosljeđivanje porta.

Izbjegavanje otkrivanja

Pomalo je iznenađujuće vidjeti bankarski trojanac ove sofisticiranosti.

Osim gore spomenutog crva Conficker, „informacije o zlonamjernoj upotrebi UPnP-a od zlonamjernog softvera su malo.“ Što je još važnije, to je jasan signal da su IoT uređaji koji koriste UPnP ogromna meta (i ranjivost). Kako IoT uređaji postaju sveprisutni, morate priznati da cyber kriminalci imaju zlatnu priliku. (Čak je i vaš hladnjak u opasnosti! Samsungov pametni hladnjak Just Gotwned. Kako je s ostatkom vašeg pametnog doma?Britanska tvrtka za infosc Pen Pen Parters otkrila je ranjivost Samsungovog pametnog hladnjaka. Samsungova implementacija SSL šifriranja ne provjerava valjanost certifikata. Čitaj više )

No, iako je Pinkslipbot prijelaz u teško uklonjenu varijantu zlonamjernog softvera, on je i dalje rangiran tek na 10. mjestu s najzastupljenijim vrstama financijskog zlonamjernog softvera. Prvo mjesto još drži Klijent Maximus.

ibm vrste financijskih zlonamjernih softvera
Kreditna slika: IMB X-Force

Ublažavanje i dalje ostaje ključno za izbjegavanje financijskog zlonamjernog softvera, bilo da je riječ o poslovnom, poslovnom ili kućnom korisniku. Osnovno obrazovanje protiv krađe identiteta Kako uočiti lažnu e-poštuUhvatiti phishing e-poštu je teško! Prijevare predstavljaju kao PayPal ili Amazon, pokušavajući ukrasti zaporku i podatke o kreditnim karticama, ukoliko je njihova obmana gotovo savršena. Pokazujemo vam kako uočiti prevaru. Čitaj više i druge oblike ciljane zlonamjerne aktivnosti Kako prevaranti koriste phishing e-poštu kako bi ciljali studenteBroj prevara usmjerenih na studente je u porastu i mnoge padaju u te zamke. Evo što trebate znati i što biste trebali učiniti kako biste ih izbjegli. Čitaj više krenite na golemi način da zaustavite ovu vrstu infekcije koja ulazi u organizaciju - ili čak vaš dom.

Na koga utječe Pinkslipbot? Je li to bilo kod kuće ili u vašoj organizaciji? Jeste li zaključani iz svog sustava? Javite nam svoja iskustva u nastavku!

Kreditna slika: akocharm putem Shutterstocka

Gavin je stariji pisac za MUO. Također je urednik i SEO Manager za sestrino kripto fokusirano sedište MakeUseOf, Blocks Decoded. Ima BA (Hons) suvremeno pisanje s digitalnim umjetničkim praksama koje su pljačkale sa brda Devona, kao i više od desetljeća profesionalnog iskustva u pisanju. Uživa u velikim količinama čaja.