Computer >> 컴퓨터 >  >> 네트워킹 >> 네트워크 보안

Fauxpersky:2018년에 출시된 새로운 맬웨어

디지털화는 우리의 생활 수준을 상당히 개선하여 일을 더 쉽고 빠르고 안정적으로 만들었습니다. 그러나 모든 기록을 컴퓨터에 보관하고 인터넷을 통해 처리하는 것은 양면이 있는 동전과 같습니다. 수많은 이점과 함께 몇 가지 주목할만한 단점이 있습니다. 특히 해커와 해커의 도구는 맬웨어로 알려져 있습니다. 이 대규모 맬웨어 제품군에 가장 최근에 추가된 것은 Fauxpersky입니다. 러시아의 유명한 안티바이러스 '카스퍼스키'와 운율이 비슷하지만 경로가 갈라지는 지점이 있습니다. Fauxpersky는 카스퍼스키로 위장하여 사용자 정보를 훔쳐 인터넷을 통해 해커에게 보내도록 설계되었습니다. 그것은 USB 드라이브를 통해 확산되어 사용자의 컴퓨터를 감염시키고 키로거처럼 모든 키 입력을 캡처하고 최종적으로 Google Forms를 통해 공격자의 편지함으로 전송합니다. 이 악성코드의 이름 뒤에 숨겨진 논리는 간단합니다. 모조품은 모두 Faux라고 하므로 Kaspersky의 모조품은 Faux – Kaspersky 또는 Fauxpersky입니다.

이 멀웨어의 실행 프로세스를 이해하기 위해 먼저 다양한 구성 요소를 확인하겠습니다.

키 로거

Google은 특히 암호 및 기타 기밀 정보에 대한 부정한 액세스를 얻기 위해 컴퓨터 사용자가 만든 모든 키 입력을 기록하는 컴퓨터 프로그램을 정의합니다. 그러나 초기 설계 시 Keylogger는 자녀의 온라인 활동을 모니터링할 수 있는 부모와 직원이 할당된 원하는 작업을 수행하고 있는지 여부를 고용주가 확인할 수 있는 조직을 위한 용도로 사용되었습니다.

오토핫키

AutoHotkey는 Microsoft Windows용 무료 오픈 소스 사용자 정의 스크립팅 언어로, 초기에는 대부분의 컴퓨터 기술 수준의 사용자가 모든 Windows 응용 프로그램에서 반복적인 작업을 자동화할 수 있도록 하는 쉬운 키보드 단축키 또는 단축키, 빠른 매크로 생성 및 소프트웨어 자동화를 제공하는 것을 목표로 했습니다. 무료 백과사전인 Wikipedia에서.

Google 설문지

Google Forms는 Google의 온라인 오피스 앱 제품군을 구성하는 앱 중 하나입니다. 설문 조사 또는 설문지를 작성하는 데 사용되며 원하는 그룹의 사람들에게 전송되고 그들의 응답은 분석 목적을 위해 단일 스프레드시트에 기록됩니다.

카스퍼스키

Kaspersky는 안티바이러스, 인터넷 보안, 비밀번호 관리, 엔드포인트 보안 및 기타 사이버 보안 제품과 서비스를 개발한 잘 알려진 러시아 안티바이러스 상표입니다.

때때로 "좋은 것이 너무 많으면 나쁜 것이 될 수 있다"라는 말이 있듯이.

Fauxpersky 레시피

Fauxpersky는 Windows에서 사용자가 입력한 모든 텍스트를 읽고 키 입력을 다른 응용 프로그램으로 보내는 AutoHotKey(AHK) 도구를 사용하여 개발되었습니다. AHK 키로거에서 사용하는 방법은 매우 간단합니다. 자기 복제 기술을 통해 확산됩니다. 시스템에서 실행되면 사용자가 입력한 모든 정보를 해당 창의 이름이 포함된 텍스트 파일에 저장하기 시작합니다. Kaspersky Internet Security의 가면 아래에서 작동하며 키 입력에서 기록된 모든 정보를 Google Forms를 통해 해커에게 보냅니다. 데이터 추출 방법은 흔하지 않습니다. docs.google.com과의 암호화된 연결이 의심스러워 보이지 않기 때문에 공격자는 트래픽을 분석하는 보안 솔루션 내에서 의심의 여지 없이 Google 양식을 사용하여 감염된 시스템에서 데이터를 수집합니다. 키 입력 목록이 전송되면 감지를 방지하기 위해 하드 드라이브에서 삭제됩니다. 그러나 시스템이 감염되면 컴퓨터를 다시 시작한 후 멀웨어가 다시 부팅됩니다. 또한 시작 메뉴의 시작 디렉토리에 바로 가기를 생성합니다.

Fauxpersky:작업 방식

초기 감염 과정은 아직 정해지지 않았지만 악성코드가 시스템을 훼손한 후 컴퓨터에 연결된 모든 이동식 드라이브를 검사하고 그 안에서 자신을 복제합니다. "Kaspersky Internet Security 2017이라는 이름으로 %APPDATA%에 폴더를 생성합니다. " 6개의 파일이 포함되어 있으며 그 중 4개는 실행 가능하며 Windows 시스템 파일과 이름이 같습니다( Explorers.exe, Spoolsvc.exe, Svhost.exe 및 Taskhosts.exe). 나머지 두 파일은 Kaspersky 바이러스 백신 로고가 있는 그림 파일과 'readme.txt'라는 이름의 텍스트 파일입니다. 4개의 실행 파일은 서로 다른 기능을 수행합니다.

  • Explorers.exe – 파일 복제를 통해 호스트 시스템에서 연결된 외부 드라이브로 확산됩니다.
  • Spoolsvc.exe – 시스템의 레지스트리 값을 변경하여 사용자가 모든 숨겨진 파일과 시스템 파일을 볼 수 없도록 합니다.
  • Svhost.exe- AHK 기능을 사용하여 현재 활성 창을 모니터링하고 해당 창에 입력된 키 입력을 기록합니다.
  • Taskhosts.exe – 최종 데이터 업로드에 사용됩니다.

텍스트 파일에 기록된 모든 데이터는 구글폼을 통해 공격자의 메일함으로 보내져 시스템에서 삭제된다. 또한 Google Forms를 통해 전송되는 데이터는 이미 암호화되어 있으므로 Fauxpersky의 데이터 업로드는 다양한 트래픽 모니터링 솔루션에서 의심스럽지 않은 것으로 보입니다.

사이버 보안 회사 'Cybereason'이 이 악성 코드를 발견한 것으로 알려져 있으며 감염된 컴퓨터 수를 나타내지는 않지만 Fauxpersky의 지능이 USB 드라이브를 공유하는 구식 방법을 통해 확산된다는 점을 감안할 때 감염되었습니다. Google은 알림을 받자 1시간 이내에 서버에서 양식을 삭제하여 즉시 응답했습니다.

제거

자신의 컴퓨터도 감염되었다고 생각되면 'AppData' 폴더에 접속하여 'Roaming' 폴더에 들어가 Kaspersky Internet Security 2017 관련 파일과 시작 메뉴의 시작 디렉터리에서 디렉터리 자체를 삭제하면 됩니다. 또한 계정의 무단 사용을 방지하기 위해 서비스의 비밀번호를 수정하는 것이 좋습니다.

최신 맬웨어 방지 프로그램이 있어도 돈으로 살 수 있습니다. 맬웨어는 전 세계의 사회 공학 활동가에 의해 자주 생성되기 때문에 컴퓨터에 저장된 개인 정보가 안전하다고 생각하는 것은 잘못된 것입니다. 맬웨어 방지 개발자는 맬웨어 정의를 계속 업데이트할 수 있지만 길을 잃은 똑똑한 사람들이 만든 변칙 소프트웨어를 탐지하는 것이 항상 100% 가능한 것은 아닙니다. 침입을 방지하는 가장 좋은 방법은 신뢰할 수 있는 웹사이트만 방문하고 외장 드라이브를 사용할 때 각별한 주의를 기울이는 것입니다.