W3C SVG

Informāciju zogošas ļaunatūras neticamie apmēri

Publicēšanas datums: Aug 5, 2024
Tēmturi:

Informāciju zogoša ļaunatūra ir ļaunprātīga programmatūra, kas izstrādāta, lai nozagtu sensitīvus datus no jūsu ierīces. Tā ne tikai nosūta uzbrucējam atpakaļ visaptverošus žurnālfailus, kuros ir lietotāja informācija, paroles, automātiskās aizpildīšanas dati un sīkfaili, bet šī ļaunatūra var arī nosūtīt uzbrucējam atsevišķus failus un darboties kā izspiedējprogrammatūra, šifrējot ierīcē esošos failus un pieprasot izpirkuma maksu par atšifrēšanu.

Kas ir pakļauti riskam?

Galvenokārt tie, kas izmanto Windows, jo īpaši tie, kas izmanto Windows pirātiskās kopijas, un mēdz instalēt bezmaksas programmatūru no Interneta. Būtībā jebkura bezmaksas programmatūra, kas lejupielādēta no avota, kas ir maz zināms, var būt inficēta ar ļaunatūru.

Ekrānšāviņš no upura darbvirsmas, ko ļaunatūra nosūtīja atpakaļ uzbrucējam un kurā redzams KMSPico Windows Activator rīks.

Kibernoziedznieku modus operandi: Lielās zivis un Mazās zivis

Lielās zivis ir kibernoziedznieki, kas izstrādā ļaunatūru un piedāvā to vai tās žurnālfailus kā pakalpojumu Mazajām zivīm. Lielās Zivis ir ļoti izsmalcinātas un tehniski zinošas, spēj radīt ļaunatūru, kas izvairās no antivīrusiem. Viņi pārvalda Telegram kanālus, tādus kā zemāk redzamajā ekrānšāviņā, kas nodrošina maksas piekļuvi ļaunatūras žurnālfailiem vai pašai ļaunatūrai.

Ieskats info zogošas ļaunatūras žurnālfailos

Lai piesaistītu klientus, Lielās zivis nodrošina bezmaksas informācijas žurnālfailus, tādējādi vilinot Mazās zivis, lai tās galu galā samaksātu par piekļuvi privātiem žurnālfailiem, kas var saturēt jau sulīgāku informāciju. Interneta tumšajā pusē cirkulējošo bezmaksas informāciju zogošās ļaunatūras žurnālfailu daudzums ir iespaidīgs. Pavadot tikai stundu, pētot dažādus publiskos Telegram kanālus, man izdevās savākt 60 gigabaitus šāda veida žurnālfailu – visi no pēdējās dienas un visi publiski pieejami. Var tikai iedomāties, kāds pwnage notiek aiz slēgtām durvīm.

Ļaunatūras žurnālfailu direktorijas struktūra

  • Saknes direktorija
    • Autofill
      • Firefox_sxunuso6.dev-edition-default-171.txt
    • Cookies
      • Discord_Default.txt
      • Edge_Default.txt
      • Firefox_sxunuso6.dev-edition-default-171.txt
      • NVIDIA_CefCache.txt
      • Steam_htmlcache.txt
    • Downloads
      • Edge_Default.txt
      • Firefox_sxunuso6.dev-edition-default-171.txt
    • GoogleAccounts
      • Edge_Default.txt
  • brute.txt
  • discord.txt
  • google_tokens.txt
  • information.txt
  • passwords.txt
  • screenshot.jpg

Biežāk inficētie izpildāmie faili:

Dažos gadījumos ļaunatūra ir inficējusi Windows operētājsistēmas failus, piemēram, RegAsm.exe, MSBuild.exe un RegSvcs.exe. Citos gadījumos tā ir pati izveidojusi izpildāmos failus, piemēram, heartcomputing.exe. Zemāk redzams novēroto biežāk inficēto izpildāmo failu saraksts:

  11845 C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
   3168 C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe
    968 C:\Users\XXX\AppData\Local\Temp\1000009001\25072023.exe
    411 C:\Windows\Microsoft.NET\Framework\v4.0.30319\AppLaunch.exe
    359 C:\Users\XXX\AppData\Local\Temp\1000050001\30072024.exe
    349 C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
    133 C:\Users\XXX\AppData\Local\Temp\IXP000.TMP\heartcomputing.exe
     95 C:\Windows\BitLockerDiscoveryVolumeContents\BitLockerToGo.exe
     58 C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe
     51 C:\Windows\Microsoft.NET\Framework\v4.0.30319\vbc.exe
     50 C:\Users\XXX\AppData\Local\Temp\Jykdnskgkstpbnxcxrwnwc1325.exe
     38 C:\Users\XXX\AppData\Local\Temp\565669\Stereo.pif
     37 C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe
     35 C:\ProgramData\MPGPH131\MPGPH131.exe

Top ģeogrāfiskās teritorijas

Pārbaudītajos žurnālfailos lielākoties bija iekļauti dati, kas nozagti no Dienvidamerikas, Āfrikas un Āzijas. Ievērojami mazāks datu apjoms tika fiksēts no Ziemeļamerikas un Eiropas. Īpaši interesanti bija tas, ka ļoti maz nozagto datu bija no Krievijas. To varētu izskaidrot ar to, ka lielākā daļa no šiem kibernoziedzniekiem ir no Krievijas un tāpēc, iespējams, izvairās vērsties pret savu valsti, lai samazinātu savu risku. Salīdzinoši nelielais datu apjoms no Ziemeļamerikas un Eiropas varētu būt izskaidrojams ar to, ka kibernoziedznieki rezervē šīs ģeogrāfiskās teritorijas maksas privātajiem žurnālfailiem, kas viņiem nes reālu peļņu.

    338 Istanbul, Istanbul
    272 Karachi, Sindh
    231 Bangkok, Krung Thep Maha Nakhon
    208 Lima, Lima
    194 Jakarta, Jakarta Raya
    189 Mumbai, Maharashtra
    174 Lahore, Punjab
    166 Dhaka, Dhaka
    157 Sao Paulo, Sao Paulo
    155 Hanoi, Ha Noi
    144 Makati, National Capital Region
    127 Islamabad, Islamabad
    125 Colombo, Western Province
    119 Ho Chi Minh City, Ho Chi Minh
    117 Cairo, Al Qahirah

Sekas, kas var iestāties upurim

Mūsdienās vairums nopietnu vietņu izmanto kaut kāda veida “aizdomīgas pieteikšanās pārbaudes”, un daudzās no tām ir divfaktoru autentifikācija, tāpēc sekas vairs nav tik smagas kā savulaik. Tomēr joprojām ir neskaitāmas tīmekļa vietnes, kurās nav ieviesti nekādi aizsardzības līdzekļi. Uzbrucēji var arī pārtvert pārlūkprogrammas sesijas, izmantojot nozagtas sīkdatnes, un nozagtos datus var izmantot sociālajai inženierijai, kā arī mērķtiecīgāk orientēties uz upuriem, izmantojot mērķēto pikšķerēšanu. No nozagtās automātiskās aizpildīšanas informācijas kibernoziedznieki var iegūt upuru kredītkaršu datus un dažādus e-pasta vai sociālo tīklu kontus ļaunprātīgi izmantot nelikumīgām darbībām, piemēram, pikšķerēšanai un surogātpasta sūtīšanai. Uzbrukuma vektori ir neskaitāmi. Tāpēc šāda veida ļaunprātīgas programmatūras infekcijas ir jāuztver ļoti nopietni.

Kā sevi aizsargāt:

  • Neizmantojiet pirātiskas Windows kopijas.
  • Ja tomēr izmantojat pirātisko Windows, izvairieties no Windows aktivizēšanas, izmantojot šaubīgu programmatūru.
  • Neinstalējiet bezmaksas programmatūru no mazāk zināmiem avotiem.
  • Izvairieties no aizdomīgu e-pasta vēstuļu pielikumu atvēršanas.
  • Uzturiet operētājsistēmu un programmatūru atjauninātu ar jaunākajiem drošības ielāpiem.
  • Izmantojiet un regulāri atjauniniet uzticamu pretvīrusu programmatūru.
  • Iespēju robežās savos kontos iespējojiet divu faktoru autentifikāciju.
  • Esiet piesardzīgi pret pikšķerēšanas mēģinājumiem un nesklikšķiniet uz nezināmām saitēm.
  • Regulāri veidojiet svarīgu datu dublējumu, ko glabājat drošā vietā.

Ja esat kompromitēts:

  • Atvienojiet iekārtu no interneta: Nekavējoties pārtrauciet interneta savienojumu, lai novērstu turpmāku datu pārraidi.
  • Palaidiet pilnu sistēmas skenēšanu: Izmantojiet atzītu pretvīrusu programmatūru, lai skenētu un noņemtu ļaunprātīgo programmatūru.
  • Mainiet paroles: Atjauniniet paroles visiem kontiem, jo īpaši tiem, kas saistīti ar sensitīvu informāciju, un to darot, izmantojiet drošu ierīci.
  • Uzraugiet savus finanšu kontus: Pārbaudiet, vai netiek veikti nesankcionēti darījumi, un ziņojiet bankai vai kredītkaršu uzņēmumam par aizdomīgām darbībām.
  • Paziņojiet iesaistītajām pusēm: Par pārkāpumu informējiet visas skartās iesaistītās puses, piemēram, e-pasta pakalpojumu sniedzēju vai darbavietas IT nodaļu.
  • Pārbaudiet un aizsargājie kontus: Ieslēdziet divu faktoru autentifikāciju savos kontos, lai nodrošinātu papildu drošības līmeni.
  • Apsveriet iespēju meklēt profesionālu palīdzību: Ja neesat pārliecināts par ļaunatūras noņemšanu vai, ja infekcija ir nopietna, vērsieties pēc palīdzības pie kiberdrošības speciālista.
  • Veidojiet datu dublējumu: Regulāri veidojiet svarīgu failu dublējumu drošā vietā, lai pasargātos no turpmākiem apdraudējumiem.
  • Izglītojiet sevi: Noskaidrojiet, kā ļaunatūra varēja inficēt jūsu iekārtu, lai izvairītos no līdzīgām problēmām nākotnē.