(Írta: Petrányi-Széll Rita) Eddig ismeretlen adatlopó alkalmazást fedezett fel a G DATA, az idestova 40 esztendeje alapított, a világ első vírusvédelmi műhelye. Kai Figge, a német cég alapítója 1985-ben mutatta be az első vírusirtó koncepciót, majd két évvel később társával, Frank Kühnnek elkészítette a legelső antivírust Atari ST-rendszerre, később pedig MS DOS- és Windows-rendszerre. A most feldezett Ailurophile Stealer adatlopó alkalmazást PHP-ben kódolták, és a forráskód vietnámi származást jelez. A kártékony keretrendszert előfizetéses modellben értékesítik. A kiberbűnözők személyre szabhatják, és rosszindulatú programokat generálhatnak a segítségével.
Az adatlopó webes paneljén keresztül megismerhető a keretrendszer működése, ami számos lehetőséget kínál kártevők létrehozására. Bizonyos funkciók csak „magasabb szintű” előfizetéssel rendelkezők számára érhetők el.
A testre szabási lehetőségek közé tartozik a rosszindulatú program elnevezése, egy ikon kiválasztása és a Telegram-csatorna beállítása, amely értesítéseket kap, ha sikeres információlopás történt. A további lehetőségek közé tartozik a kártevő észlelésének megnehezítése, a Windows Defender letiltása és egy különösen rosszindulatú komponens telepítése egy megadott URL-ről.
Mindez jól mutatja, hogyan működik a kártevők piaca: csak kevesen fejlesztenek kártékony keretrendszereket, majd ezeket felhő alapú szolgáltatásként bérbe adják bűnözőcsoportoknak.
A panel következő része összefoglalót mutat arról, hogy mely gazdagépek fertőződtek meg, és megjeleníti az előfizető számára ellopott információk mennyiségét.
Viszi a jelszavakat és a kártyák adatait
A megtámadott böngészők közé tartozik a Chrome, az Edge, a Brave, a Yandex, az Opera és a CocCoc. A létrehozott kártevők a következő információkat lophatják el ezekből:
- Automatikus kitöltési információk
- Sütik
- Tárolt jelszavak
- Böngészési előzmények
- Tárolt hitelkártyaadatok
- Tárcaadatok a böngészők pénztárcabővítményeiből
Ezenkívül a rendszerrel létrehozott rosszindulatú programok olyan fájlokat lopnak el, amelyek a nevükben meghatározott kulcsszavakat tartalmaznak, adott kiterjesztéssel rendelkeznek, és a könyvtárak egy meghatározott csoportjában találhatók.
A kártékony keretrendszer technikai áttekintése
Az Ailurophile Stealert PHP-ben írták meg, ami megköveteli, hogy a kiszemelt áldozat gépe képes legyen PHP-kód futtatására, ami nem szokásos eset. Ezért a rosszindulatú program egy végrehajtható fájlba kerül a kereskedelmi forgalomban kapható, harmadik féltől származó „ExeOutput” nevű szoftver segítségével. A rosszindulatú programot emellett virtualizálják a BoxedApp segítségével, egy szintén kereskedelmi forgalomban kapható szoftverrel.
A BoxedApp önállóan végrehajtható állomány létrehozására szolgál, ami saját virtuális fájlrendszerrel, virtuális nyilvántartással és folyamatokkal is rendelkezik. A BoxedApp alkalmazáskód elfogja az alkalmazásból érkező I/O- és egyéb rendszerhívásokat, és átirányítja őket az általa létrehozott virtuális entitásokhoz. Amikor a rosszindulatú program fut, a BoxedApp alkalmazáskód lefut, és kibontja a szükséges fájlokat a virtuális fájlrendszerbe (a fájlok ebben az esetben memóriarezidensek). A fájlok tartalmazzák a PHP feldolgozó modulját és a futtatáshoz szükséges fájlokat, valamint a konfigurációs és a kártékony összetevőket.
Ezek után a kód összegyűjti a használói adatokat, beleértve az IP-címet, a gazdagép nevét, az operációs rendszer adatait és a gép architektúráját. Érdekes mappákat, fájlnév-kulcsszavakat, fájlkiterjesztéseket, pénztárcaadat-könyvtárakat és böngésző-útvonalakat keres a gépen. Kezdeményezi a hitelkártyaadatok, a sütik, a böngészési előzmények, az automatikus kitöltési információk és a pénztárcaadatok összegyűjtését. Az összegyűjtött információkat tömöríti, és feltölti a konfigurációban megadott távoli szerverre.
A G DATA a kártevő technikai leírásában további részleteket is megad, amik elsősorban a kiberbiztonsággal foglalkozó szakemberek számára érdekesek. Még bővebben a G DATA blogjában.