נחשף קוד זדוני רב שכבתי PirateMatryoshka המופץ ע"י אתר ההורדות Pirate Bay
מאת:
מערכת Telecom News, 3.4.19, 21:32
זוהה קוד זדוני המופץ דרך אחד מאתרי הורדות הטורנט הנפוצים ביותר. הוא נועד להדביק את המשתמשים במחשבים אישיים בתוכנות פרסום ובכלים, שיאפשרו התקנה של קוד זדוני נוסף. יש לו מבנה רב שכבתי, ובעקבות מערך היכולות הכמעט אינסופי שלו, הוא קיבל את השם PirateMatryoshka, ע"ש הבובה הרוסית הידועה. איך זה עובד שלב אחר שלב?
שירותי טורנט משמשים בעיקר לצורך הפצה של תוכן פיראטי, שאינו חוקי ברוב המדינות מכיוון שהוא מפר זכויות יוצרים. עם זאת, השירותים האלה נגישים מאוד ברשת ומהווים מטרה פופולרית עבור עברייני סייבר המעוניינים להפיץ קוד זדוני, בין היתר, מכיוון שמשתמשים, שמחפשים אחר תוכן פיראטי לעיתים קרובות מבטלים את פתרונות האבטחה שלהם ונוטים להתעלם מהתראות מערכת.
הקוד הזדוני החדש שנחשף,
PirateMatyoshka, מכיל בתוכו
Trojan-downloader (קוד זדוני המוריד תוכנות התקנה נוספות לקוד זדוני), כשהוא מחופש לגרסה פרוצה של תוכנה נפוצה (המשמשת בפעילות מחשוב יומיומית).
הקוד הזדוני משתמש בשיטה מתוחכמת של הנדסה חברתית כדי להפיץ את עצמו. בעוד שרוב הקוד הזדוני, שנחשף באתרי טורנטים, מופץ בד"כ באמצעות חשבונות של משתמשים חדשים (
Seeders), הקוד הזדוני
PirateMatryoshka מופץ באמצעות
seeders קיימים, בעלי היסטוריה נקיה מפעילות זדונית. אלה הופכים את תהליך ההפצה ליעיל, מכיוון שהודות למוניטין של תורם התוכן, אין לקורבן הפוטנציאלי סיבה לפקפק בבטיחות הקובץ, שהוא מוריד.
ברגע שהמשתמש לוחץ על ה-
installer מתחיל תהליך ההדבקה של
PirateMatryoshka. בהתחלה הוא מראה לקורבן עותק של דף האתר
The Pirate Bay, שהוא למעשה דף פישינג המבקש מהגולש להזין את שם המשתמש והסיסמא שלו כדי להמשיך את ההורדה. לאחר מכן הקוד הזדוני ישתמש בהרשאות כדי ליצור
seerders להפצה עצמית. המחקר מראה, שעד עתה נרשמו יותר מ-10,000 כניסות לקישור הפישינג.
תהליך ההתקנה ממשיך אפילו אם הרשאות המשתמש אינן מוזנות, כשהקוד הזדוני פורק את המודולים הזדוניים הנוספים שלו. אלה כוללים "קליקר" זדוני - תוכנה היודעת לסמן
V בתיבת ה"אני מסכים" המופיעה במסך ההתקנה של תוכנת הפרסום הזדונית, שלאחר מכן מציפה את מכשיר הקורבן בתוכנה בלתי מורשית.
כ-70% מהתוכנות המותקנות הן תוכנות פרסום זדוניות כגון
pBot, ו-10% מהן זוהו כקוד זדוני המאפשר להכניס למחשב קוד זדוני נוסף. מכאן, ש-
PirateMatryoshka משלב ביעילות קוד זדוני, רב שכבתי ומתוחכם, יחד עם יכולות הפצה עבור עצמו ועבור קוד זדוני אחר.
כדי להגן על המכשירים מומלץ:
- לעשות שימוש בתוכנה מקורית בלבד, שמומלץ להוריד מאתרים רשמיים.
- להקדיש תשומת לב מיוחדת לאמינות אתרים. אל תבקרו באתרים אם אינכם בטוחים באמינותם.
- להתקין פתרונות אבטחה אמינים המאבטחים גם הזנה של סיסמאות גישה לשירותים, והמספקים הגנה מקיפה מול טווח רחב של איומים.
אנטון איבנוב, חוקר אבטחה במעבדת קספרסקי: "אנו רואים לעיתים קרובות קוד זדוני רב שכבתי, כגון
,droppers, ואנו מאתרים מתקינים זדוניים המסוגלים להתקין יותר מתוכנה אחת על מכשיר הקורבן. עם זאת, ב
PirateMatryoshka-התהליך מתוחכם יותר, כאשר הקוד הזדוני, שמגיע למחשב באמצעות תוכנת הפרסום, יכול להכניס קוד התקנה נוסף, שנועד להתקין קוד זדוני נוסף. זו שיטה מתקדמת יחסית, לאור העובדה, שמדובר בהתקפה המונית ולא ממוקדת הנושאת רכיב פישינג להגברת ההפצה".