(Haittaohjelma) Kiinalaiset tutkijat häiritsevät tuhansien tietokoneiden saastuttamia haittaohjelmahyökkäyksiä

Share with others

Kiinalainen tietoturvayritys Qihoo 360 Netlab kertoi tekevänsä yhteistyötä teknisen jättiläisen Baidun kanssa estääkseen haittaohjelmabottiverkon, joka tartuttaa satoja tuhansia järjestelmiä.

Bottiverkko jäljitettiin ryhmään, jota se kutsuu ShuangQiangiksi (kutsutaan myös Double Gun). Se on ollut takana useista hyökkäyksistä vuodesta 2017 lähtien, joiden tarkoituksena on vaarantaa Windows-tietokoneita MBR- ja VBR-käynnistyspaketeilla, ja asentaa haitallisia ohjaimia taloudellisen hyödyn saamiseksi ja kaappaa verkkoliikennettä e -kauppasivustot.

Sen lisäksi, että Baidu Tiebaan ladattuja kuvia käytetään konfigurointitiedostojen ja haittaohjelma – tekniikka nimeltä steganografia – jakeluun, ryhmä on alkanut käyttää Alibaba Cloud -tallennusta konfigurointitiedostojen isäntänä ja Baidu-analyysialustaa Tongjia tartunnan saaneiden isäntien toiminnan hallintaan, tutkijat kertoivat. .
Alkuperäinen kompromissi perustuu epätoivovien käyttäjien houkuttamiseen asentamaan pelin käynnistämisohjelmat luonnosteltavista peliportaaleista, jotka sisältävät haittaohjelma korjauksen varjolla.

Kun käyttäjä on ladannut ja asentanut korjaustiedoston, hän käyttää yllä mainittuja määritystietoja ja lataa Baidu Tiebalta erillisen ohjelman “cs.dll”, joka tallennetaan kuvatiedostona.
Seuraavissa vaiheissa “cs.dll” ei vain luo bot-tunnusta ja ilmoittaa sen takaisin hyökkääjän ohjaamalle palvelimelle, mutta se myös injektoi toisen ajurin, joka kaappaa järjestelmäprosessit (esim. Lassas.exe ja svchost.exe) tilaamalla seuraavan vaiheen hyötykuormat ryhmän motiivien edistämiseksi.

haittaohjelma
“Haittaohjelma-Suojaus”

Qihoo-tutkijat esittelivät myös toisen tartuntaketjun, jossa peliohjelmisto-ohjelmistoja muutetaan haitallisilla kirjastoilla (modifioitu versio photobase.dll) käyttämällä DLL-kaappausmenetelmää, joka vapauttaa ja ladata haittaohjelma ennen laillisen moduulin lataamista.
Yhtiö kertoi ottavansa yhteyttä Baidu-ryhmän turvallisuusryhmään 14. toukokuuta ja että he ryhtyivät yhdessä estämään bottiverkon edelleen leviämistä estämällä kaikki lataukset kyseisiltä URL-osoitteilta.

“Tämän yhteisen operaation aikana olemme luoneet paremman ymmärryksen Tupla-aseiden ryhmän teknisistä keinoista, logiikasta ja säännöistä analysoimalla, jakamalla ja vastaamalla uhatietoja”, Baidu sanoi.

Lähde: thehackernews.com

Muista myös lukea seuraavat artikkelit !

Japani on sekä edullinen että kallis matkailumaa. Normaalia säästö tavoilla siis pärjää eli katsoo vähän mistä ostaa ruoat ja muut päivittäiset asiat. Ulkona syöminen tosin os Suomea halvempaa…(Lennot Japaniin)

Onko jo se aika vuodesta kun haikailet lomalle johonkin kauas? Katso lennot kanadaan ja lähde tutustumaan maailman kuuluja nähtävyyksiä kansallispuistoista NHL peleihin..(Lennot Kanadaan)

Androidiin kohdistuva tietoturvahaavoittuvuus, jota haitalliset sovellukset voivat hyödyntää naamioitumiseen kuten mitä tahansa kohdennettuun laitteeseen.. (StrandHogg)

Did you think this article was useful?

Click on the star to vote

Average vote 5 / 5. Number of votes: 1

No votes so far