A legtöbb rosszindulatú szoftvert úgy tervezték, hogy ellopják az Ön hitelesítő adatait, beleértve az olyan érzékeny információkat, mint a hitelkártyaadatok és a személyazonosság, és még a fájlokat is eltérítsék. A rosszindulatú programok általában diszkréten, gyakran e-mail-mellékleteken keresztül, vagy gyakrabban social engineering támadásokon keresztül jutnak be a személy számítógépére.
A rosszindulatú programok egyik különösen aggasztó fajtája a FickerStealer, egy elterjedt információlopó szoftver, amely 2020 óta terjed. Szóval mi ez? Mit csinal? És ha érintett, mit tehet?
Mi az a FickerStealer?
A FickerStealert először 2020 augusztusában észlelték a sötét weben. Ez egy népszerű információlopó, elsősorban a Windows rendszereket célozza meg, és először a malware-as-a-service (MaaS) program a Telegramon körülbelül 200 dollárért. Abban az időben a FickerStealer különböző képességekkel volt elérhető, ára 900 dollárig ment.
A FickerStealer ellophatja az áldozat számítógépén tárolt érzékeny információkat, többek között:
- Kriptovaluta pénztárca címek.
- Jelszavak webböngészőből.
- Bankkártya adatok.
- SSH jelszavak vagy FTP bejelentkezési adatok.
- Számítógépes bejelentkezési jelszavak.
- A Windows Credential Manager által tárolt bármely hitelesítő adat.
A FickerStealer azzal hirdette magát, hogy több mint 40 böngészőből tud érzékeny információkat ellopni, beleértve az összes népszerű böngészőt, mint például a Chrome, az Opera, a Firefox és az Edge.
Miután feltört egy böngészőt, a rosszindulatú program képes volt adatokat lopni, és visszaküldeni a kártevő küldőjének. Ha FTP-klienst vagy e-mail-alkalmazást, például Outlookot vagy Thunderbirdot használt, a FickerStealer ezekből is képes volt információkat lopni.
És képes összegyűjteni az összes információt a számítógépről, beleértve a processzort, a telepített alkalmazásokat, a CPU-használatot, és képes volt képernyőképeket is készíteni.
A FickerStealer Rust and Assembly programozási nyelveken íródott, amelyek hihetetlenül hatékonyak és gyorsan betöltődnek. Maga a Rust egy meglehetősen összetett nyelv, ami kissé megnehezíti a visszafejtést.
A vásárlók hozzáférést kapnának egy webalapú panelhez, amely lehetővé tenné számukra az áldozatoktól ellopott információk áttekintését.
Hogyan fertőzi meg a FickerStealer a számítógépét?
A legtöbb rosszindulatú programhoz hasonlóan a FickerStealert is többféle technikával terjesztették.
Spam e-mail kampányok
Ezeket az e-maileket gyakran gondosan álcázzák, hogy valami értékeset kínáljanak, és ha egy gyanútlan személy letölt egy mellékletet, a rosszindulatú program azonnal bekerül a fájlrendszerbe. Ez az egyik a rosszindulatú programok terjedésének leggyakoribb módjai.
Ezeket az e-maileket gyakran úgy álcázzák, hogy fontosnak tűnjenek, és akár hivatalosnak is tűnhetnek. Olyan mellékleteket tartalmaznak, amelyek látszólag ártalmatlan fájloknak vannak álcázva, beleértve a .zip vagy .rar formátumú mellékleteket. De amint egy személy letölti őket, végrehajt egy szkriptet, amely megfertőzi az eszközét.
Feltört szoftverek nem hivatalos letöltései
Az olyan káros kártevőket, mint a FickerStealer, általában „feltört” vagy kockázatos szoftverletöltésekkel terjesztik. Sokan nem hivatalos forrásokból töltenek le feltört szoftvereket, például tükrök vagy torrentek tárolását.
A legtöbb esetben ezek a programok rosszindulatú programokkal, például a FickerStealer-rel vannak megfertőzve. A több letöltés ösztönzése érdekében a rosszindulatú szereplők gyakran azt állítják, hogy népszerű szoftverek, például Microsoft Office vagy új videojátékok feltört verzióit kínálják. Mindig fontos az óvatosság ellenőrizze a fontos dolgokat, mielőtt letölti a fájlokat az internetről, mint az oldal hitelessége.
A FickerStealer könnyen terjedhet a nem hivatalos szoftveraktiváló eszközökön keresztül is. A kalózkodásra használt eszközök célja, hogy eltávolítsák a DRM-korlátozásokat, és lehetővé tegyék az emberek számára a korlátozott szoftverek licenckulcs nélküli használatát.
Gyakori példa a Keygen vagy egy kulcsgenerátor. Gyakran tartalmaznak rosszindulatú fájlokat, és a program futtatása után azonnal megfertőzhetik számítógépét.
A FickerStealer-t erősen terjesztették így. Mivel MaaS-ként adták el, a rosszindulatú szereplők testreszabhatták a program képességeit az alapján, ahogyan azt terjeszteni akarták.
Mitől lett olyan népszerű a FickerStealer?
A hagyományos rosszindulatú programokkal ellentétben ezt szolgáltatásként adták el. Így amint a vevő megállapodást kötött, megkapja a személyre szabott kártevő-csomagot, beleértve a szerverbeállítást és a végrehajtható fájlt.
A kártevő-terjesztőnek szüksége volt a C&C (command and control) szerver címére is, hogy testreszabhassa a kártevő kódját a vevő szerverével való kommunikációhoz.
Mivel a FickerStealernek nincsenek függőségei, további könyvtárak letöltése nélkül is futhat, így hihetetlenül gyors. Más rosszindulatú programokkal ellentétben nem a HTTP protokollra támaszkodott a C&C szerverrel való kommunikáció során.
A kommunikáció teljes mértékben titkosítva volt a kliens oldalon XOR rotációval, így az adatokat általában nehéz volt visszafejteni. Ennél is fontosabb, hogy a FickerStealer soha nem vezetett naplót.
Amint a rosszindulatú program ellopta az adatokat, csak továbbította azokat a C&C szervernek, ami sokkal nehezebbé tette az észlelést. A hagyományos rosszindulatú programok általában megírják az adatokat, és egy ideiglenes mappában tárolják, mielőtt elküldenék a C&C szervernek.
A FickerStealer eltávolítása
A FickerStealer elsősorban a Windows rendszereket célozza meg, így a következő javaslatok elsősorban az adott rendszert futtató felhasználóknak szólnak.
Használjon robusztus víruskereső alkalmazást
A vírusvédelem szükséges a rosszindulatú szoftverek észleléséhez, karanténba helyezéséhez és a számítógépről való eltávolításához. Több is van népszerű víruskereső alkalmazások a Windows 11 rendszerhez, és erősen ajánlott egy jó hírű eszköz, például a Kaspersky használata a számítógép védelmére.
Ha számítógépét megfertőzte a FickerStealer, a víruskereső észleli és eltávolítja a fertőzött fájlokat. Ez talán a legfontosabb lépés, mert rosszindulatú programok esetén a megelőzés a legjobb gyógymód.
A víruskereső alkalmazások rendszeresen átvizsgálják a számítógépet, hogy észleljenek minden rosszindulatú programot vagy kártékony programokat, például számítógépes férgek, majd helyezze karanténba a fertőzött fájlokat.
Formázza meg fájlrendszerét
Ez általában nem ajánlott módszer, de ha nincsenek érzékeny fájlok a számítógépen és meg kell szabadulnia a FickerStealertől, érdemes megfontolni a merevlemez teljes formázását. Ennek azonban valóban az utolsó intézkedésnek kell lennie.
A meghajtó formázása eltávolítja a meghajtón lévő összes fájlt, beleértve az operációs rendszert is (ha ugyanazon a meghajtón van), így előfordulhat, hogy újra kell indítania és újra telepítenie kell az operációs rendszert.
Legyen biztonságban az interneten való böngészés közben
A rosszindulatú programok gyakran gyanús fájlokon és e-mail mellékleteken keresztül terjednek. Fontos, hogy kerülje a megbízhatatlan fájlok letöltését számítógépére, különösen nem hivatalos forrásokból.
Továbbá, ha nem hivatalos forrásból kap e-mailt, legyen nagyon óvatos a megnyitásakor. A legtöbb e-mail szolgáltató ma már beépített kártevő-ellenőrző eszközökkel rendelkezik, így Ön értesítést kap, ha egy fájl megfertőződött.
Ha pedig új belső meghajtót – akár szilárdtestalapú, akár merevlemezt – csatlakoztat, győződjön meg róla, hogy formázza, mielőtt elkezdi használni.