Infostealer.Boyapki


2014. május 24. 09:55

CH azonosító

CH-11153

Angol cím

Infostealer.Boyapki

Felfedezés dátuma

2014.05.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000
Windows 7
Windows 95
Windows 98
Windows Me
Windows NT
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Összefoglaló

A Boyapki trójai két bűnözői csoport tevékenységét segíti elő. Az egyik esetben támogatja az adathalászokat azzal, hogy átirányítást végez banki weboldalak megtekintésekor, ezáltal káros weblapra vezeti a felhasználókat. A másik esetben nyit egy hátsó kaput, ezáltal a külső támadásokkal szemben a fertőzött számítógépeket kiszolgáltatottá teszi.

A Boyapki jelenlegi variánsa kiszemelte a koreai bankok ügyfeleit, semmiféle akadálya nincs technikailag annak, hogy más országok pénzintézeteit vegye célba a Boyapki trójai egy másik variánsa. Ha más ország pénzintézetei kerülnek célba, akkor elsőként a banki adatok, a banki szolgáltatásokhoz tartozó felhasználónevek és jelszavak lesznek veszélyben.

A Boyapki trójai több vezérlőszerverhez kapcsolódik a hátsókapu nyitásakor. A vezérlőszerverekről azokat az utasításokat szerzi be, amelyek szükségesek a feladatai ellátásához. A terjesztői további fájlok letöltésére utasíthatják, frissíteni a vezérlőszerverek címlistáját, valamint a számítógép leállítására.

Leírás

1. Az alábbi állományokat hozza létre:
%Windir%[véletlenszerű karakterek]MUpdate.exe
%Windir%[véletlenszerű karakterek][véletlenszerű karakterek].dll
%System%drivershosts.ics
2. A következő bejegyzést hozzáadja a regisztrációs adatbázishoz:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”CTFM0N” = “%Windir%[véletlenszerű karakterek]MUpdate.exe %Windir%[véletlenszerű karakterek][véletlenszerű karakterek].dll,ALSTS_ExecuteAction”
3. A biztonsági alkalmazásokhoz tartozó folyamatokat leállítja.
4. Letölt egy bankok nevét és webcímét tartalmazó listát egy távoli kiszolgálóról.
5. Az alábbi állományt hozza létre, amivel hálózati átirányításokat hajt végre:
%System%drivershosts.ics
6. Egy NPKI, valamint egy abban megtalálható u.dat fájl után keresve feltérképezi a számítógépről elérhető összes meghajtót. Az állományt feltölti egy távoli szerverre, ha megtalálja.
7. A vezérlőszervereinek eléréséhez szükséges címlistát letölti egy távoli kiszolgálóról.
8. A 8761-es, a 8086-os és a 3666-os portokon keresztül csatlakozik a vezérlőszervereihez.
9. Egy hátsó kaput nyit, és a támadók parancsaira várakozik.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »