Nonbolqu.A trójai


2015. február 6. 08:06

CH azonosító

CH-11986

Angol cím

Nonbolqu.A trojan

Felfedezés dátuma

2015.02.05.

Súlyosság

Alacsony

Érintett rendszerek

Windows

Érintett verziók

Windows

Összefoglaló

A Nonbolqu.A trójai elsősorban a banki weboldalakon megadott adatokra nézve jelent kockázatot. A károkozó ugyanis folyamatosan figyelemmel kíséri a webböngészőkben folytatott tevékenységeket és ha bizonyos banki weblapok letöltését észleli, akkor rögtön aktivizálódik. Webes átirányítást hajt végre, aminek következtében egy meghamisított, adathalász oldal jelenik meg. Amennyiben ezen a felhasználó megadja az adatait, akkor azok rögtön az adattolvajok kezébe kerülnek.

A Nonbolqu.A képes a böngészési előzmények lekérdezésére, felhasználónevek, jelszavak gyűjtésére, valamint hitelkártyaszámok kémlelésére. A megszerzett információkat pedig rendszeres időközönként feltölti egy távoli kiszolgálóra.

A Nonbolqu.A egy megtévesztő, Java frissítésnek álcázott állomány formájában terjed, de könnyen elképzelhető, hogy a jövőben esetlegesen megjelenő variánsai más ismert alkalmazások nevével is vissza fognak élni.

Leírás

1. Létrehozza a következő állományt:
“%aktuális könyvtár%java_update.exe” 

2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKCUsoftwaremicrosoftwindowscurrentversionrunAtools=”[a trójai elérési útvonala]java_update.exe” 

3. Folyamatosan monitorozza a webböngészőkben megnyitott oldalakat. 

4. Amennyiben a felhasználó által megtekintett weboldal kapcsán megjelenik az alábbi kifejezések egyike, akkor átirányítást hajt végre:
aapf
bancobrasil
caixa
internet banking
itau
santander
sicoob

5. Bizalmas adatokat kér be, és gyűjt.

6. Megpróbálja megszerezni az alábbi adatokat:
– böngészők előzményei
– felhasználónevek, jelszavak
– hitelkártyaszámok.

7. Naplózza a billentyűleütéseket.

Megoldás

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Manipulation of data

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »