Meghökkentő mesék: a pórul járt script kiddiek esete

2025. január 27. 12:55 - Csizmazia Darab István [Rambo]

Furcsa esetekről, elképesztő hatású incidensekről többször is beszámoltunk már itt a blogon. Gondoljunk csak a Wannacry esetére, ahol egy domain bejegyzéssel lehetett hatástalanítani a zsarolóvírust, vagy a világszerte 8 és fél millió Windows gépet letérdeltető Crowdstrike frissítésre.

A mostani történet sem hétköznapi, bár ehhez kicsit vissza kell tekinteni a múltba. A warez programok világában ismert dolog volt, hogy a serial number generátorok, a patchelt programok gyakorta tartalmaztak pluszban valamilyen trójai komponenst, amely titokban megfertőzte a gyanútlan felhasználók gépeit valamilyen vírussal.

Ezt néha úgy tudták elérni, hogy a readme.txt fájlban azt írták, a vírusirtók tévesen riasztanak a felokosító programjukra, ezért legyünk szívesek azt ideiglenesen lekapcsolni. Ez sűrűn előfordult játékoknál, de olyan alkalmazói szoftvereknél is, mint például a drága AutoCAD vagy az ingyenes Flash Player.

És akkor a múlt után a jelen, ahol is egy letölthető kártevő-készítő készlet tartalmazott egy titkos, trójai komponenst. Az ilyen programokat gyakran fiatal, tapasztalatlan felhasználók, alacsony képzettségű de érdeklődő kezdő "hackerek" töltik le, akikre a script kiddie címkét szokták használni.

Az ő céljuk gyakran csak annyi, hogy tanulás, elmélyülés nélkül keresnek valamilyen kész támadó, romboló megoldást, aztán nagy büszkén akcióba lépnek ezekkel a készen kapott megoldásokkal.

Jelen esetben az XWorm RAT builder egy módosított változata titokban megfertőzte a felhasználóit egy rejtett hátsó ajtóval (backdoor), aminek a segítségével a készlet fejlesztői adatokat tudtak lopni, vagy akár az irányítást is átvehették a megfertőzött számítógépeken. A CloudSEK biztonsági kutatói 18 ezernél is több ilyen fertőzött gépet találtak világszerte, ezek többsége Oroszországban, az USA-ban, Indiában, Ukrajnában és Törökországban voltak.

A szakértők találtak egy killswitch lehetőséget a kódban, amivel megkísérelték lekapcsolni a kártevőt, ez az esetek többségében működött, de néhány esetben viszont nem volt sikeres.

A kártékony trójaival preparált csomagot GitHub tárolókon, Telegram csatornákon, fájl megosztó oldalakon, illetve YouTube bejegyzésekben terjesztették azt ígérve, aki letölti, az innen ingyenesen hozzájuthat a programhoz.

Ám valójában a futtatás és fertőzés után a felhasználók gépe egy botnet részeként működött, amelyet a távoli támadók adatlopásra, kémkedésre használták: jelszavakat, böngésző cookiekat töltöttek le az alkalmi tolvajoktól, illetve képesek voltak billentyűzet figyelésre, valamint távolról képernyőképek készítésére is.

A biztonsági kutatók végül tömeges killswitch utasítással próbálták a gépeket távolról mentesíteni, amihez a beépített "/machine_id*uninstall" parancsot használták. Igaz, voltak már korábban is különféle visszaélések az XWorm RAT nevével, de a távoli elérést biztosító programba csomagolt effajta trójai azért mégis érdekes megoldás volt, az események ilyen utóéletével együtt. Mindenesetre sose fogadjunk el kártevő generátort idegenektől ;-)

A történet részletes elemzése az alábbi linken olvasható.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.

Kommentezéshez lépj be, vagy regisztrálj! ‐ Belépés Facebookkal

süti beállítások módosítása