Tox zsaroló kártevő készítő alkalmazás


2015. május 30. 13:30

CH azonosító

CH-12285

Angol cím

Tox ransomware builder-kit

Felfedezés dátuma

2015.05.29.

Súlyosság

Közepes

Érintett rendszerek

Windows

Érintett verziók

Windows

Összefoglaló

A McAfee Labs közleményében tudatja, hogy egy ingyenes zsaroló kártevő készítő programot találtak a “mélyweben”. 

Leírás

A Tox egy egyszerű webes felülettel rendelkező alkalmazás, ami 3 lépésben képes zsaroló kártevőt gyártani. A “termék” egy nagyjából 2MB nagyságú, képernyőkímélőnek álcázott (MS Word ikonnal ellátott) .SCR kiterjesztésű futtatható állomány, amelyeket tipikusan kéretlen levelek útján juttatnak az áldozatokhoz.

Windows rendszeren futva titkosítja a fájlokat és feloldásukat bizonyos összeg (minimum 50$, bitcoin-on keresztül történő) befizetéséhez köti. Használatáért cserébe a készítők regisztrációt kérnek és igényt tartanak a “bevétel” 30%-ára. (A program a TOR hálózaton keresztül követi nyomon a kód terjedését, ami számottevő anonimitást biztosít a támadóknak.)

A McAfee szerint a káros kód viszonylag egyszerű felépítésű, ami arra enged következtetni, hogy a fejlesztők alacsony szintű tudással rendelkeznek. A kód fordítására a MinGW-t (Minimalist GNU for Windows), titkosításra az AES (Advanced Encryption Standard) algoritmust, kulcskészítésre pedig a Microsoft CryptoAPI-t (Cryptographic Application Programming Interface) használják. Azon kívül több jellemző sztring is azonosításra került, mint pl a “Swogo”:

  • C:/Users/Swogo/Desktop/work/tox/cryptopp/secblock.h
  • C:/Users/Swogo/Desktop/work/tox/cryptopp/filters.h
  • C:/Users/Swogo/Desktop/work/tox/cryptopp/cryptlib.h
  • C:/Users/Swogo/Desktop/work/tox/cryptopp/simple.h

A káros kód hálózati tevékenysége:

A malware először is letölti a cURL és a TOR klienseket.

  • hxxp://www.paehl.com/open_source/?download=curl_742_1.zip
  • hxxp://dist.torproject.org/torbrowser/4.5.1/tor-win32-0.2.6.7.zip

Minden letöltött fájlt a következő helyen tárol:

  • C:Users<username>AppDataRoaming

Futáskor inicializálja a TOR klienst SOCKS5 proxy módban a következő paraméterekkel:

  • -socks5-hostname 127.0.0.1:9050 –data

Megoldás

  • Az elkódolt állományok visszaállítása biztonsági mentésekből lehetséges.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE).

Megelőzés:

  • Ne nyissunk meg gyanús csatolmányt.
  • Védelmi szoftverek naprakészen tartása.

Támadás típusa

Crypthographical (Titkosítás)
Ransomware

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: blogs.mcafee.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »