Összefoglaló
A Pycerine trójai káros kód vált ismertté, amely elsősorban a felhasználóneveket, jelszavakat és egyéb bizalmas adatokat képes kiszivárogtatni. Ehhez többféle módszert is alkalmaz:
- böngészőkből, de még a Steamből is kigyűjti a hitelesítő adatokat
- emellett képernyőképeket készít
- telepített programokhoz tartozó termékkulcsokat gyűjt össze.
A megszerzett adatokat e-mailben szivárogtatja ki terjesztői számára, a levélbe pedig további rendszerinformációkat is beilleszt.
Leírás
A Pycerine érdekessége, hogy amint elküldi az értékes adatokat és fájlokat e-mailben, elkezdi eltüntetni a nyomait. Ennek keretében eltávolítja a saját állományait, amivel az utólagos vizsgálatokat tudja megnehezíteni. A Pycerine működéséhez arra is szükség van, hogy a számítógépre telepítve legyen a .Net keretrendszer.
A Pycerine tematikája:
1. Létrehozza a következő állományokat:
%UserName%AppDataRoamingCyperine
%SystemDrive%[…]-PC
%Temp%Chromepass.exe
%Temp%Chromepass.txt
%Temp%ProduKey.exe
%Temp%ProduKey.txt
%UserProfile%AppDataRoaming[…]-PC.zip
2. Ellenőrzi az internetkapcsolat állapotát
3. Az alábbi alkalmazásokból kiexportálja a lementett hitelesítő adatokat:
Chrome
Firefox
Steam
Sentry MBA
4. Képernyőképeket készít.
5. Termékkulcsokat gyűjt össze.
6. Az összegyűjtött adatokat lementi az alábbi neveken:
screenshot.png
Chrome.txt
ProduKey.txt
Chromepass.txt
[…]-PC.zip
7. A saját könyvtárába átmásolja a következő állományokat:
history[…].ini
key3.db
login.json
loginusers.vdf
signons3.txt
signons2.txt
signons.txt
signons.sqlite
signons2.sqlite
signons3.sqlite
ssfn*
8. A megszerzett állományokat elküldi egy előre meghatározott e-mail címre, a levélben pedig egyéb rendszerinformációkat is közöl a csalókkal.
9. További fájlokat tölt le FTP-n keresztül
10. Eltávolítja a saját állományait.
Támadás típusa
TrójaiHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com
