Trojan.Rapidstealer


2014. május 21. 10:55

CH azonosító

CH-11130

Angol cím

Trojan.Rapidstealer

Felfedezés dátuma

2014.05.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows Vista
Windows XP

Érintett verziók

Windows 7
Windows Vista
Windows XP

Összefoglaló

A Rapidstealer trójai adatlopásra specializálódott. A legfontosabb feladata, hogy azokat az információkat gyűjtse össze a számítógépekről, amelyeket az adattolvajok a saját céljukra tudnak használni. A rendszerinformációkat kérdezi le először a károkozó, majd a felhasználói fiókokra, hálózati beállításokra és az operációs rendszerre vonatkozó adatokat menti le.

Folyamatosan naplózza a billentyűleütéseket és képernyőképet készít. Időközönként a vágólap tartalmát lementi. A Rapidstealer figyelmét a webböngészők sem kerülik el, a kártevő a cookie-kat, elmentett böngészési adatokat és a beállításokat exportálja ki. A trójai a következő böngészőkkel kompatibilis: Opera, Firefox, Chrome és Internet Explorer. Felhasználói adatokat képes kinyerni az azonnali üzenetküldőkből (Google Talk, Pidgin, Skype, Yahoo!, Messenger).

A Rapidstealer trójai a álcázza magát Ultrasurf, GerdooVPN és Psiphon nevű VPN-alkalmazásoknak, és egy hamis Intel program formájában kerül a számítógépekre.

Leírás

1.A következő állományokat hozza létre:
%UserProfile%Application DataIntelRapidStartDelphiNative.dll
%UserProfile%Application DataIntelRapidStartIntelRS.exe.config
%UserProfile%Application DataIntelRapidStartAppTransferWiz.dll
%UserProfile%Application DataIntelRapidStartIntelRS.exe
%UserProfile%Application DataIntelRapidStartRapidStartTech.stl
2.Az alábbi értékeket hozzáadja a regisztrációs adatbázishoz:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”IntelRapidStart”=%UserProfile%Application DataIntelRapidStartIntelRS.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”IntelRapidStart”=%UserProfile%Application DataIntelRapidStartIntelRS.exe
3.Összegyűjti a rendszerinformációkat:
– a számítógép neve
– felhasználónevek
– a vágólap tartalma
– IP-cím
– nyitott portok
– folyamatok listája
– területi beállítások
– telepített alkalmazások.
4.A billentyűleütéseket folyamatosan naplózza.
5.Képernyőképeket készít rendszeresen.
6.Az eltárolt adatokat exportálja ki a webböngészők által.
7.Meghatározott távoli szerverekre feltölti az összegyűjtött adatokat.
8.A saját állományait frissíti.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2023-33960 – OpenProject sérülékenysége
CVE-2023-32324 – OpenPrinting CUPS sérülékenysége
CVE-2023-28066 – Dell OS Recovery Tool sérülékenysége
CVE-2023-26278 – IBM QRadar WinCollect Agent sérülékenysége
CVE-2023-26277 – IBM QRadar WinCollect Agent sérülékenysége
CVE-2023-33175 – Python ToUI modul sérülékenysége
CVE-2023-27988 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-32074 – Nextcloud User OIDC (OpenID Connect) sérülékenysége
CVE-2023-0950 – LibreOffice sérülékenysége
CVE-2023-2868 – Barracuda Email Security Gateway sérülékenysége
Tovább a sérülékenységekhez »