Rultazo trójai


2016. augusztus 8. 09:20

CH azonosító

CH-13474

Angol cím

Rultazo trojan

Felfedezés dátuma

2016.07.28.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Rultazo nevű Windows operációs rendszereket támadó trójai típusú – a felhasználó adatainak lopására alkalmas – káros kód vált ismertté, amelyek az érzékeny információkat egy PHP-alapú weboldal segítségével eljuttatja a terjesztőihez.

Leírás

Első lépésként leginkább rendszerinformációkat gyűjt össze – például a számítógép és az operációs rendszer legfontosabb paramétereit is lekérdezi. Ezt követően lementi a böngészési előzményeket, illetve a Skype szoftver adatbázisfájlját. Ezt követően egyesével elkezdi a legnépszerűbb alkalmazások által eltárolt adatok kiexportálásához, többek között a Chrome, az Opera, az Outlook, a Thunderbird és a FileZilla alkalmazások tekintetében és mentett felhasználóneveket, jelszavakat próbál megszerezni.

A Rultazo az összes állományát, illetve az összegyűjtött adatokat tartalmazó fájljait a Windows átmeneti fájlok tárolására szolgáló mappájába helyezi el, majd időközönként az értékes adatokkal teli állományokat egy PHP-alapú weboldal segítségével eljuttatja a terjesztőihez.

Technikai részletek:

 1. Létrehozza a következő mappákat:

  • %Temp%[véletlenszerű karakterek]Coins
  • %Temp%[véletlenszerű karakterek]Skype
  • %Temp%[véletlenszerű karakterek]Desktop
  • %Temp%[véletlenszerű karakterek]BrowsersCookies
  • %Temp%[véletlenszerű karakterek]BrowsersAutocomplete
  • %Temp%[véletlenszerű karakterek]Browsers
  • %Temp%[véletlenszerű karakterek]Steam

2. Létrehozza az alábbi állományokat:

  • %Temp%[véletlenszerű karakterek]Programms.txt
  • %Temp%[véletlenszerű karakterek]Passwords.txt
  • %Temp%[véletlenszerű karakterek]Process.txt
  • %Temp%[véletlenszerű karakterek]Info.txt

3. Kapcsolódik egy távoli vezérlőszerverhez.

4. Különféle rendszer és felhasználói információkat gyűjt össze.

5. Lementi az alábbi mappában található állományokat:

  • %SystemDrive%Documents and SettingsAll UsersDesktop

6. Hitelesítő adatokat gyűjt ki a következő alkalmazásokból:

  • Google Chrome
  • Yandex Browser
  • Comodo Dragon
  • Amigo
  • Orbitum
  • Bromium
  • Chromium
  • Opera
  • Filezilla
  • Outlook
  • Thunderbird
  • Purple

 7. Az összegyűjtött adatokat feltölti egy távoli szerverre egy PHP-alapú weboldalon keresztül.

Támadás típusa

Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »