rssyoutubefg

נוזקה חדשה-ישנה מסווה את עצמה לכלי פריצה לפייסבוק

ESET ישראל
11.02.16

כלי פריצה שמבטיח לכם "לפרוץ לכל חשבון בקלות" הוא בעצם סוג של תוכנה זדונית שאוספת מידע מהמחשב שלכם.

לפני קרוב לשנה הזהירו במעבדת הווירוסים של ESET מפני איום המכונה Remtasu, אבל במקום להיחלש ראינו מספר לא קטן של מקרים שמעידים שהאיום הזה רק מתגבר.

הגרסה החדשה Win32/Remtasu.Y, שכיחה ביותר באמריקה הלטינית, ובעיקר בקולומביה אבל גם במדינות נוספות כמו טורקיה, תאילנד ומדינות נוספות. קמפיין ההפצה האחרון של הנוזקה מופץ תוך התחזות לכלי פריצה לחשבונות הרשת החברתית פייסבוק.

שימוש בהנדסה חברתית

ההפצה של Remtasu מתבססת על טכניקות של הנדסה חברתית. לרוב, באמצעות שליחת הודעות מתחזות לתיבת הדואר האלקטרוני של הקורבן. ברוב המקרים ההודעה התריעה מפני חוב שלא שולם בצירוף של "חשבונית" – שלמעשה הכילה את הקובץ הזדוני.

למרות שהתוקפים ממשיכים להשתמש בשיטה הזו כדי להפיץ את האיום, לאחרונה חשפנו שיטת הפצה חדשה שמשתמשת בטכניקה מעט שונה של הנדסה חברתית, והיא מנצלת את הרצון התמידי של משתמשים להשתלט על חשבונות מדיה חברתית של אנשים אחרים.
למרות שמדובר באותם קבצים זדוניים בדיוק, אנחנו יכולים לראות שדרך ההפצה וההדבקה היא שונה לחלוטין. מרבית ההדבקות בגרסה החדשה של Remtasu מגיעות מאתרים להורדה ישירה, מהם אמורים הגולשים להוריד את כלי הפריצה לפייסבוק. ברגע שהגולש מוריד את הקובץ ומפעיל אותו, המחשב שלו נדבק ומידע סודי מתועד ונשלח לתוקפים.

הפצה שונה, התנהגות דומה

מעבדת הווירוסים שלנו חקרה את האיום לעומק וחשפה את המטרה ואופן הפעולה של האיום ואיך התוקפים השתמשו בו כדי לאסוף ולשלוח את הנתונים מהמחשב של הקורבן.

virus

לדוגמה, לווריאנט הזה יש פיצ'ר שמטרתו היא איסוף המידע מה Clipboard של הקורבן. ה Clipboard הוא הזיכרון הזמני בו נשמרים נתונים כאשר אתם עושים להם Copy.

בנוסף למידע שנאסף מה Clipboard הקוד הזדוני מסוגל גם לעקוב ולתעד את כל הקשות המקלדת של המשתמש – כולל חיפושים בגוגל, שמות משתמש, סיסמאות ואפילו פרטי אשראי של המשתמש. הקוד הזדוני אגר את הנתונים ולאחר מכן שלח אותם לשרת שנמצא בשליטתו של התוקף.

virus2

כצפוי בסוג כזה של איומים, התוכנה הזדונית הזו מחפשת דרכים להישאר על המחשב אפילו אם המשתמש מנסה לאתחל את המערכת או לאתר את האיום ברשימת התהליכים הפעילים.

במקרה כזה התוכנה הזדונית משכפלת את עצמה, ושומרת את העותק בתוך תיקיות המערכת – מה שמקשה על המשתמש לאתר אותה.

virus3

Remtasu ב 2016

חשוב לציין שבשבועות הראשונים של 2016, ראינו 24 ווריאנטים (גרסאות) של האיום הזה. יותר מרבע מהן שייכות לווריאנט Win32/Remtasu.Yואחריה הווריאנט Win32/Remtasu.O. המשמעות של זה היא שקרוב לחצי מכלל הווירוסים מהמשפחה הזו שייכות לשתי גרסאות בלבד.

virus4

חשוב לציין שתוכנת אבטחה יכולה לעזור באיתור של תוכן זדוני שמנסה לחדור למחשב, עדיין יש לחשוב היטב לפני שלוחצים על קישורים או מתקינים תוכנות מפוקפקות על המחשב שלכם.

  • הדפס
  • דוא"ל

השאר תגובה

להשארת תגובה מלאו את השדות הבאים

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום