reklama

Občas se objeví nová varianta malwaru, která rychle připomíná, že bezpečnostní sázky neustále rostou. Trojan QakBot / Pinkslipbot je jedním z nich. Malware, nikoli obsah sběru bankovních údajů, může nyní přetrvávat a fungovat jako kontrolní server - dlouho poté, co bezpečnostní produkt zastaví svůj původní účel.

Jak zůstává OakBot / Pinkslipbot aktivní? A jak jej můžete ze svého systému úplně odstranit?

QakBot / Pinkslipbot

Tento bankovní trojan má dvě jména: QakBot a Pinkslipbot. Samotný malware není nový. To bylo poprvé nasazeno na konci roku 2000, ale stále způsobuje problémy o deset let později. Nyní Trojan obdržel aktualizaci, která prodlužuje škodlivou aktivitu, i když bezpečnostní produkt omezuje svůj původní účel.

Infekce používá k otevření portů univerzální plug-and-play (UPnP) a umožňuje příchozí připojení od kohokoli na internetu. Pinkslipbot se pak používá ke sklizni bankovních údajů. Obvyklá řada škodlivých nástrojů: keyloggery, krádeže hesel, útoky prohlížečů MITM, krádeže digitálních certifikátů, pověření FTP a POP3 a další. Malware řídí botnet, který má podle odhadů obsahovat přes 500 000 počítačů. (

instagram viewer
Co je to botnet? Je váš počítač Zombie? A co je vlastně počítač Zombie? [MakeUseOf vysvětluje]Přemýšleli jste někdy, odkud pochází veškerý internetový spam? Pravděpodobně každý den obdržíte stovky nevyžádaných e-mailů filtrovaných spamem. Znamená to, že tam jsou stovky a tisíce lidí, kteří sedí ... Přečtěte si více )

Malware se převážně zaměřuje na bankovní sektor v USA, přičemž 89 procent infikovaných zařízení bylo nalezeno v pokladnách, podnikových nebo komerčních bankovních zařízeních.

bankovní sektory infekce pinkslipbot
Obrázek Kredit: IBM X-Force

Nová varianta

Výzkumníci v McAfee Labs objevil nová varianta Pinkslipbot.

„Protože společnost UPnP předpokládá, že místní aplikace a zařízení jsou důvěryhodná, neposkytuje žádnou bezpečnostní ochranu a je náchylná ke zneužití jakýmkoli infikovaným počítačem v síti. Pozorovali jsme několik proxy serverů Pinkslipbot hostovaných na samostatných počítačích ve stejné domácnosti síť, stejně jako to, co se zdá být veřejným hotspotem Wi-Fi, “říká McAfee Anti-Malware Researcher Sanchit Karve. „Pokud víme, Pinkslipbot je první malware, který používá infikované počítače jako řídicí servery založené na HTTPS, a druhý spustitelný malware, který používá UPnP pro předávání portů po neslavný Conficker červ v roce 2008."

Výzkumný tým McAfee (a další) se proto pokouší přesně určit, jak se infikovaný počítač stává proxy. Vědci se domnívají, že významnou roli hrají tři faktory:

  1. Adresa IP umístěná v Severní Americe.
  2. Vysokorychlostní připojení k internetu.
  3. Schopnost otevírat porty na internetové bráně pomocí UPnP.

Například malware stáhne obrázek pomocí služby Comcast'sSpeed ​​Test, aby znovu zkontroloval, zda je k dispozici dostatečná šířka pásma.

Jakmile Pinkslipbot najde vhodný cílový počítač, malware vydá paket protokolu Simple Service Discovery Protocol, aby vyhledal zařízení internetového brány (IGD). IGD je následně zkontrolována z hlediska konektivity, přičemž pozitivním výsledkem je vytvoření pravidel pro předávání portů.

Výsledkem je, že jakmile autor malwaru rozhodne, zda je počítač vhodný pro infekci, stáhne a nasadí trojský binární soubor. Toto je zodpovědné za komunikaci proxy řídicího serveru.

Je obtížné vyhladit

I když vaše antivirová nebo antispywarová sada úspěšně detekovala a odstranila QakBot / Pinkslipbot, existuje šance, že stále bude sloužit jako proxy proxy řídicího serveru pro malware. Váš počítač může být stále zranitelný, aniž byste si to uvědomovali.

„Pravidla pro přesměrování portů vytvořená společností Pinkslipbot jsou příliš obecná na to, aby se automaticky odstranila bez rizika náhodných chybných konfigurací sítě. A protože většina škodlivého softwaru nezasahuje do přesměrování portů, řešení proti malwaru nemusí takové změny vrátit, “říká Karve. "Bohužel to znamená, že váš počítač může být stále zranitelný vůči vnějším útokům, i když váš antimalwarový produkt úspěšně odstranil všechny binární soubory Pinkslipbot z vašeho systému."

Malware obsahuje červ-capabilites Viry, spyware, malware atd. Vysvětleno: Porozumění online hrozbámKdyž začnete přemýšlet o všech věcech, které by se mohly při procházení Internetu pokazit, web začne vypadat jako docela děsivé místo. Přečtěte si více , což znamená, že se může sám replikovat prostřednictvím sdílených síťových jednotek a jiných vyměnitelných médií. Podle vědců IBM X-Force, způsobil uzamčení služby Active Directory (AD) a nutil zaměstnance postižených bankovních organizací v režimu offline po dobu několika hodin.

Stručný průvodce odebráním

McAfee vydala Nástroj pro detekci proxy serveru Pinkslipbot a nástroj pro odebrání přesměrování portů (nebo PCSPDPFRT, zkrátka... žertuji). Tento nástroj je k dispozici ke stažení právě tady. Dále je k dispozici krátká uživatelská příručka tady [PDF].

Po stažení nástroje klikněte pravým tlačítkem myši a Spustit jako administrátor.

Nástroj automaticky prohledá váš systém v „detekčním režimu“. Pokud nedochází k žádné škodlivé činnosti, nástroj se automaticky zavře bez provedení změn v systému nebo konfiguraci routeru.

Nástroj pro odstranění proxy serveru pro ovládání proxy serveru Pinkslipbot od mcafee

Pokud však nástroj zjistí škodlivý prvek, můžete jednoduše použít /del příkaz k deaktivaci a odstranění pravidel předávání portů.

Vyhnout se detekci

Je poněkud překvapivé vidět bankovního trojana této sofistikovanosti.

Kromě výše uvedeného červu Conficker „jsou informace o škodlivém používání UPnP malwarem vzácné“. Přesněji řečeno, je to jasný signál, že zařízení IoT využívající UPnP jsou obrovským cílem (a zranitelností). Jakmile se zařízení internetu věcí stane všudypřítomnou, musíte uznat, že kybernetičtí zločinci mají jedinečnou příležitost. (I vaše lednička je v ohrožení! Inteligentní lednička Samsung právě dostala Pwned. A co zbytek vašeho inteligentního domova?Zranitelnost s inteligentní lednicí Samsung byla objevena britskou infosec firmou Pen Test Parters. Implementace šifrování SSL společností Samsung nekontroluje platnost certifikátů. Přečtěte si více )

Ale zatímco Pinkslipbot přechází do obtížně odstranitelné varianty malwaru, stále je zařazena na 10. místo mezi nejčastějšími typy finančního malwaru. Nejlepší místo si stále drží Klient Maximus.

ibm top finanční typy malware
Obrázek Kredit: IMB X-Force

Zmírňování zůstává klíčem k tomu, abychom se vyhnuli finančnímu malwaru, ať už jde o podnik, podnik nebo domácí uživatele. Základní vzdělání proti phishingu Jak najít e-mail s phishingemChytání phishingového e-mailu je těžké! Podvodníci představují jako PayPal nebo Amazon, snaží se ukrást vaše heslo a informace o kreditní kartě, protože jejich podvod je téměř dokonalý. Ukážeme vám, jak zjistit podvod. Přečtěte si více a jiné formy cílené škodlivé činnosti Jak podvodníci používají phishingové e-maily k cílení na studentyPočet podvodů zaměřených na studenty roste a mnoho z nich do těchto pasti spadá. Zde je to, co potřebujete vědět a co byste měli udělat, abyste se jim vyhnuli. Přečtěte si více jít masivním způsobem, jak zastavit vstup tohoto typu infekce do organizace - nebo dokonce do vašeho domova.

Ovlivněno Pinkslipbot? Bylo to doma nebo ve vaší organizaci? Byli jste uzamčeni ze svého systému? Sdělte nám své zážitky níže!

Image Credit: akocharm přes Shutterstock

Gavin je Senior Writer pro MUO. On je také editor a SEO manažer pro MakeUseOf krypto-zaměřený sesterský web, Blocks Decoded. Má BA (Hons) Contemporary Writing s Digital Art Practices drancované z kopců Devonu, stejně jako více než deset let profesionálního psaní. Užívá si hojného množství čaje.