Netect.fi
  • Etusivu
  • Keitä olemme
  • Palvelumme
    • Sovelluskehitys
    • Räätälöinti
    • MS ratkaisut
    • Ulkoistuspalvelut
  • Blogi
  • Ota yhteyttä
  • In English
    • Homepage
    • About us
    • Application development
    • Customization
    • MS solutions
    • Outsourcing services
Blogi
Aiheina tietoturva, kybervakoilu, ransomware, etätyö, ohjelmistokehitys, ulkoistaminen jne.

BazarBackdoor: Uusi tietojenkalastelukampanja asentaa laitteeseen takaoven

6/9/2020

 
Picture
Yrityskäyttäjiin kohdistettu kalastelukampanja asentaa käyttäjän laitteeseen haittaohjelman, joka mahdollistaa komentojen suorittamisen ja jatkohyökkäyksen yrityksen verkkoon. Käyttäjä saa kalastelusähköpostin, joka on otsikoitu asiakaspalautteeksi, palkkaraportiksi tai listaksi päättyneistä työsuhteista. Sähköposti ei sisällä liitettä vaan linkin Google Docs palveluun.
Linkki johtaa sivulle, jossa kerrotaan, että jos dokumentin katselu ei onnistu automaattisesti niin klikkaa tästä. 

Linkin klikkaaminen käynnistää tiedoston lataamisen käyttäjän koneelle ja koska Windows oletusarvoisesti piilottaa tiedostojen nimien päätteet, ei käyttäjä huomaa lataavansa suoritettavaa tiedostoa. Kun tiedosto käynnistetään, se ottaa yhteyttä komentopalvelimeen ja tarkastaa onko siellä tehtäviä tälle haltuun otetulle laitteelle. Saatuaan haittaohjelman ladattua se lisätään suoraan osaksi Windowsin käyttöjärjestelmärutiinia tiedostoon svchost.exe. Lisäksi ohjelma lisää käyttäjän sisäänkirjautumiseen ajastetun tehtävän, joka tarkistaa onko haittaohjelma jo ladattu ja onko siitä päivitettyä versiota saatavilla. Käyttäjän kone jää siis avoimeksi hyväksikäyttäjälle, kunnes haittaohjelma ja sen tekemät muutokset on poistettu. 

Jos virustorjuntaohjelma ei alun perin estä käyttäjää suorittamasta .doc.exe tai .pdf.exe päätteisiä tiedostoja on tilanne hankala, haittaohjelman latausosuus tekee muutokset svchost.exeen vaikeasti havaittavalla tavalla ja kyseinen prosessi on joka tapauksessa jatkuvasti suorituksessa yhtenä tai useampana instanssina, joten sekään ei herätä huomiota. 

Muistakaa kouluttaa käyttäjiänne sähköpostikalastelun vaaroista ja huolehtia siitä, että yrityksenne tietoturva on riittävällä tasolla!

Lähteet:
  • https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-stealthy-network-hacking-malware/
  • https://research.nccgroup.com/2020/06/02/in-depth-analysis-of-the-new-team9-malware-family/
    ​

Comments are closed.

    Kategoriat

    All
    Covid 19
    Etätyö
    Kybervakoilu
    Ohjelmistokehitys
    Phishing
    Ransomware
    Terveydenhuolto
    Tietoturva
    Ulkoistaminen
    Verkkokauppa

    RSS Feed

Netect Oy logo

info@netect.fi
Rekisteri- ja tietosuojaseloste
Copyright © 2023
  • Etusivu
  • Keitä olemme
  • Palvelumme
    • Sovelluskehitys
    • Räätälöinti
    • MS ratkaisut
    • Ulkoistuspalvelut
  • Blogi
  • Ota yhteyttä
  • In English
    • Homepage
    • About us
    • Application development
    • Customization
    • MS solutions
    • Outsourcing services