Trojan.Rapidstealer


2014. május 21. 10:55

CH azonosító

CH-11130

Angol cím

Trojan.Rapidstealer

Felfedezés dátuma

2014.05.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows Vista
Windows XP

Érintett verziók

Windows 7
Windows Vista
Windows XP

Összefoglaló

A Rapidstealer trójai adatlopásra specializálódott. A legfontosabb feladata, hogy azokat az információkat gyűjtse össze a számítógépekről, amelyeket az adattolvajok a saját céljukra tudnak használni. A rendszerinformációkat kérdezi le először a károkozó, majd a felhasználói fiókokra, hálózati beállításokra és az operációs rendszerre vonatkozó adatokat menti le.

Folyamatosan naplózza a billentyűleütéseket és képernyőképet készít. Időközönként a vágólap tartalmát lementi. A Rapidstealer figyelmét a webböngészők sem kerülik el, a kártevő a cookie-kat, elmentett böngészési adatokat és a beállításokat exportálja ki. A trójai a következő böngészőkkel kompatibilis: Opera, Firefox, Chrome és Internet Explorer. Felhasználói adatokat képes kinyerni az azonnali üzenetküldőkből (Google Talk, Pidgin, Skype, Yahoo!, Messenger).

A Rapidstealer trójai a álcázza magát Ultrasurf, GerdooVPN és Psiphon nevű VPN-alkalmazásoknak, és egy hamis Intel program formájában kerül a számítógépekre.

Leírás

1.A következő állományokat hozza létre:
%UserProfile%Application DataIntelRapidStartDelphiNative.dll
%UserProfile%Application DataIntelRapidStartIntelRS.exe.config
%UserProfile%Application DataIntelRapidStartAppTransferWiz.dll
%UserProfile%Application DataIntelRapidStartIntelRS.exe
%UserProfile%Application DataIntelRapidStartRapidStartTech.stl
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”IntelRapidStart”=%UserProfile%Application DataIntelRapidStartIntelRS.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”IntelRapidStart”=%UserProfile%Application DataIntelRapidStartIntelRS.exe
3.Összegyűjti a rendszerinformációkat:
– a számítógép neve
– felhasználónevek
– a vágólap tartalma
– IP-cím
– nyitott portok
– folyamatok listája
– területi beállítások
– telepített alkalmazások.
4.A billentyűleütéseket folyamatosan naplózza.
5.Képernyőképeket készít rendszeresen.
6.Az eltárolt adatokat exportálja ki a webböngészők által.
7.Meghatározott távoli szerverekre feltölti az összegyűjtött adatokat.
8.A saját állományait frissíti.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »