Rultazo trójai


2016. augusztus 8. 09:20

CH azonosító

CH-13474

Angol cím

Rultazo trojan

Felfedezés dátuma

2016.07.28.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Rultazo nevű Windows operációs rendszereket támadó trójai típusú – a felhasználó adatainak lopására alkalmas – káros kód vált ismertté, amelyek az érzékeny információkat egy PHP-alapú weboldal segítségével eljuttatja a terjesztőihez.

Leírás

Első lépésként leginkább rendszerinformációkat gyűjt össze – például a számítógép és az operációs rendszer legfontosabb paramétereit is lekérdezi. Ezt követően lementi a böngészési előzményeket, illetve a Skype szoftver adatbázisfájlját. Ezt követően egyesével elkezdi a legnépszerűbb alkalmazások által eltárolt adatok kiexportálásához, többek között a Chrome, az Opera, az Outlook, a Thunderbird és a FileZilla alkalmazások tekintetében és mentett felhasználóneveket, jelszavakat próbál megszerezni.

A Rultazo az összes állományát, illetve az összegyűjtött adatokat tartalmazó fájljait a Windows átmeneti fájlok tárolására szolgáló mappájába helyezi el, majd időközönként az értékes adatokkal teli állományokat egy PHP-alapú weboldal segítségével eljuttatja a terjesztőihez.

Technikai részletek:

 1. Létrehozza a következő mappákat:

  • %Temp%[véletlenszerű karakterek]Coins
  • %Temp%[véletlenszerű karakterek]Skype
  • %Temp%[véletlenszerű karakterek]Desktop
  • %Temp%[véletlenszerű karakterek]BrowsersCookies
  • %Temp%[véletlenszerű karakterek]BrowsersAutocomplete
  • %Temp%[véletlenszerű karakterek]Browsers
  • %Temp%[véletlenszerű karakterek]Steam

2. Létrehozza az alábbi állományokat:

  • %Temp%[véletlenszerű karakterek]Programms.txt
  • %Temp%[véletlenszerű karakterek]Passwords.txt
  • %Temp%[véletlenszerű karakterek]Process.txt
  • %Temp%[véletlenszerű karakterek]Info.txt

3. Kapcsolódik egy távoli vezérlőszerverhez.

4. Különféle rendszer és felhasználói információkat gyűjt össze.

5. Lementi az alábbi mappában található állományokat:

  • %SystemDrive%Documents and SettingsAll UsersDesktop

6. Hitelesítő adatokat gyűjt ki a következő alkalmazásokból:

  • Google Chrome
  • Yandex Browser
  • Comodo Dragon
  • Amigo
  • Orbitum
  • Bromium
  • Chromium
  • Opera
  • Filezilla
  • Outlook
  • Thunderbird
  • Purple

 7. Az összegyűjtött adatokat feltölti egy távoli szerverre egy PHP-alapú weboldalon keresztül.

Támadás típusa

Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
CVE-2025-4664 – Google Chromium Loader Insufficient Policy Enforcement sérülékenysége
Tovább a sérülékenységekhez »