Acțiune:
Cum să verificați dacă introduceți malware Pinkslipbot
Din când în când, o nouă variantă de programe malware apare ca o reamintire rapidă a faptului că mizele de securitate sunt mereu în creștere. Troianul bancar QakBot / Pinkslipbot este unul dintre ele. Malware-ul, care nu se mulțumește cu recuperarea acreditărilor bancare, poate acum să rămână și să acționeze ca un server de control - mult timp după ce un produs de securitate își oprește scopul inițial.
Cum rămâne Oakbot / Pinkslipbot activ? Și cum puteți să o eliminați complet din sistem?
QakBot / Pinkslipbot
Acest troian bancar are două nume: QakBot și Pinkslipbot. Malware-ul în sine nu este nou. Ea a fost lansată pentru prima dată la sfârșitul anilor 2000, dar încă provoacă probleme peste un deceniu mai târziu. Acum, troianul a primit o actualizare care prelungește activitatea rău-intenționată, chiar dacă un produs de securitate își restrânge scopul original.
Infecția utilizează plug-and-play universal (UPnP) pentru a deschide porturile și a permite conexiunile de intrare de la oricine de pe internet. Pinkslipbot este apoi utilizat pentru recoltarea acreditărilor bancare. Gama obișnuită de instrumente rău intenționate: keyloggers, stealers pentru parole, atacuri ale browserului MITM, furt de certificate digitale, acreditări FTP și POP3 și multe altele. Controalele malware controlează un botnet care conține aproximativ 500.000 de computere. (Ce este un botnet, oricum? Este PC-ul dvs. un zombie? Și ce este un computer zombie, oricum? [MakeUseOf explică] Este PC-ul dvs. un zombie? Și ce este un computer zombie, oricum [MakeUseOf explică] V-ați întrebat vreodată unde de spam-ul de Internet vine de la? Probabil că primiți sute de e-mail-uri spam-filtrate în fiecare zi.Asta înseamnă că există sute și mii de oameni acolo, ședinței ... Citeste mai mult)
Malware-ul se concentrează în principal pe sectorul bancar din S.U.A., cu 89% dintre dispozitivele infectate găsite fie în instituții bancare de trezorerie, corporații sau comerciale.
Un nou variante
Cercetătorii de la McAfee Labs au descoperit noua variantă Pinkslipbot.
“Întrucât UPnP presupune că aplicațiile și dispozitivele locale sunt de încredere, nu oferă protecție de securitate și sunt predispuse la abuzuri de către orice mașină infectată din rețea. Am observat mai multe proxy-uri de server de control Pinkslipbot găzduite pe computere separate în aceeași rețea de domiciliu, precum și ceea ce pare a fi un hotspot public Wi-Fi,” spune cercetatorul McAfee Anti-Malware Sanchit Karve. “Din câte știm, Pinkslipbot este primul program malware care utilizează mașinile infectate ca servere de control HTTPS și cel de-al doilea malware executabil care utilizează UPnP pentru redirecționarea porturilor după vagonul infamat Conficker în 2008.”
În consecință, echipa de cercetare McAfee (și alții) încearcă să stabilească exact modul în care o mașină infectată devine un proxy. Cercetătorii consideră că trei factori joacă un rol semnificativ:
- O adresă IP localizată în America de Nord.
- O conexiune la internet de mare viteză.
- Abilitatea de a deschide porturi pe un gateway de internet folosind UPnP.
De exemplu, malware-ul descarcă o imagine utilizând serviciul de testare Comcast'sSpeed pentru a verifica dacă există suficientă lățime de bandă disponibilă.
Odată ce Pinkslipbot găsește o mașină-țintă potrivită, malware-ul emite un pachet de protocol Simple Service Discovery Protocol pentru a căuta dispozitive Gateway Internet (IGD). La rândul său, IGD este verificat pentru conectivitate, cu un rezultat pozitiv în ceea ce privește crearea regulilor de expediere a porturilor.
Ca rezultat, odată ce autorul malware decide dacă o mașină este potrivită pentru infecție, se descarcă și se instalează un program binar de tip troian. Acesta este responsabil pentru comunicarea proxy server de control.
Dificil să oblige
Chiar dacă suita dvs. anti-virus sau anti-malware a detectat și a eliminat cu succes QakBot / Pinkslipbot, există o șansă ca aceasta să servească în continuare ca proxy control-server pentru malware. Este posibil ca computerul dvs. să fie în continuare vulnerabil, fără să vă dați seama.
“Regulile de redirecționare a porturilor create de Pinkslipbot sunt prea generice pentru a fi eliminate automat, fără a risca configurații necorespunzătoare ale rețelei. Deoarece majoritatea programelor malware nu interferează cu transmiterea de porturi, soluțiile anti-malware nu pot reveni la astfel de modificări,” spune Karve. “Din păcate, aceasta înseamnă că computerul dvs. poate fi în continuare vulnerabil la atacuri externe, chiar dacă produsul antimalware a eliminat cu succes toate fișierele binare Pinkslipbot din sistemul dvs..”
Caracteristicile malware sunt viruși, spyware, malware etc. Explicate: Înțelegerea virușilor virușilor, a programelor spyware, a malware-ului etc. Explicat: Înțelegerea amenințărilor online Când începeți să vă gândiți la toate lucrurile care ar putea merge prost la navigarea pe Internet, web-ul începe să arate ca un loc destul de înfricoșător. Citiți mai mult, ceea ce înseamnă că se poate replica prin intermediul unor unități de rețea partajate și alte medii amovibile. Potrivit cercetătorilor IBM X-Force, aceasta a provocat blocarea Active Directory (AD), forțând angajații din organizațiile bancare afectate să se deconecteze ore întregi.
Un ghid de eliminare scurt
McAfee a lansat Instrumentul de detectare a proxy-urilor de control al serverului Pinkslipbot și instrumentul de redirecționare a porturilor (sau PCSPDPFRT, pe scurt ... glumesc). Instrumentul este disponibil pentru descărcare chiar aici. Mai mult, un scurt manual de utilizare este disponibil aici [PDF].
După ce ați descărcat instrumentul, dați clic dreapta și Rulat ca administrator.
Instrumentul scanează automat sistemul dvs. “detectare.” Dacă nu există nicio activitate rău intenționată, instrumentul se va închide automat fără a modifica configurația sistemului sau a routerului.
Cu toate acestea, dacă instrumentul detectează un element rău intenționat, puteți folosi pur și simplu / del comanda pentru a dezactiva și a elimina regulile de redirecționare a porturilor.
Evitarea detecției
Este oarecum surprinzător să vezi un troian bancar al acestei sofisticări.
În afară de viermele Conficker menționat mai sus “informațiile despre utilizarea malware a UPnP de către malware sunt rare.” Mai mult, este un semnal clar că dispozitivele IoT care utilizează UPnP sunt o țintă imensă (și vulnerabilitate). Deoarece dispozitivele IoT devin omniprezente, trebuie să recunoașteți că infractorii cibernetici au o ocazie de aur. (Frigiderul inteligent Samsung are doar pantofi.) Cât despre restul casei tale inteligente? Frigiderul inteligent Samsung tocmai a fost pontat Cum rămâne cu restul casei tale inteligente O vulnerabilitate cu frigiderul inteligent Samsung a fost descoperită de Marea Britanie bazat pe software-ul companiei Infosec Pen Test Parters, implementarea de către Samsung a criptării SSL nu verifică valabilitatea certificatelor.
Dar, în timp ce Pinkslipbot trece într-o varianta greu de eliminat, este încă doar pe locul # 10 în cele mai răspândite tipuri de malware financiare. Punctul de top este încă deținut de Clientul Maximus.
Măsurile de atenuare rămân esențiale pentru a evita malware-ul financiar, fie ca afacerea, întreprinderea sau utilizatorul de acasă. Învățarea de bază împotriva phishingului Cum să găsești un e-mail de phishing Cum să găsești un e-mail prin phishing Prin prinderea unui e-mail de phishing e greu! Scammers posesă ca PayPal sau Amazon, încercând să vă fure parola și informații de pe cardul de credit, sunt înșelăciunea lor aproape perfectă. Vă arătăm cum să detectați frauda. Citește mai multe și alte forme de activitate rău intenționată Cum scamatorii folosesc e-mailurile phishing pentru a-și viza elevii Cum înșelătorii folosesc e-mailurile phishing pentru a-și viza elevii Numărul de înșelătorii adresate studenților este în creștere și multe dintre ele se încadrează în aceste capcane. Iată ce trebuie să știți și ce ar trebui să faceți pentru a le evita. Citiți mai multe o modalitate masivă de a opri acest tip de infecție care intră într-o organizație - sau chiar în casa dvs..
Afectat de Pinkslipbot? A fost acasă sau organizația dvs.? Ai fost blocat din sistemul tău? Spuneți-ne experiențele dvs. de mai jos!
Credit de imagine: cumpără prin Shutterstock
Explorați mai multe despre: Malware, Troian Horse.