Rultazo trójai


2016. augusztus 8. 09:20

CH azonosító

CH-13474

Angol cím

Rultazo trojan

Felfedezés dátuma

2016.07.28.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Rultazo nevű Windows operációs rendszereket támadó trójai típusú – a felhasználó adatainak lopására alkalmas – káros kód vált ismertté, amelyek az érzékeny információkat egy PHP-alapú weboldal segítségével eljuttatja a terjesztőihez.

Leírás

Első lépésként leginkább rendszerinformációkat gyűjt össze – például a számítógép és az operációs rendszer legfontosabb paramétereit is lekérdezi. Ezt követően lementi a böngészési előzményeket, illetve a Skype szoftver adatbázisfájlját. Ezt követően egyesével elkezdi a legnépszerűbb alkalmazások által eltárolt adatok kiexportálásához, többek között a Chrome, az Opera, az Outlook, a Thunderbird és a FileZilla alkalmazások tekintetében és mentett felhasználóneveket, jelszavakat próbál megszerezni.

A Rultazo az összes állományát, illetve az összegyűjtött adatokat tartalmazó fájljait a Windows átmeneti fájlok tárolására szolgáló mappájába helyezi el, majd időközönként az értékes adatokkal teli állományokat egy PHP-alapú weboldal segítségével eljuttatja a terjesztőihez.

Technikai részletek:

 1. Létrehozza a következő mappákat:

  • %Temp%[véletlenszerű karakterek]Coins
  • %Temp%[véletlenszerű karakterek]Skype
  • %Temp%[véletlenszerű karakterek]Desktop
  • %Temp%[véletlenszerű karakterek]BrowsersCookies
  • %Temp%[véletlenszerű karakterek]BrowsersAutocomplete
  • %Temp%[véletlenszerű karakterek]Browsers
  • %Temp%[véletlenszerű karakterek]Steam

2. Létrehozza az alábbi állományokat:

  • %Temp%[véletlenszerű karakterek]Programms.txt
  • %Temp%[véletlenszerű karakterek]Passwords.txt
  • %Temp%[véletlenszerű karakterek]Process.txt
  • %Temp%[véletlenszerű karakterek]Info.txt

3. Kapcsolódik egy távoli vezérlőszerverhez.

4. Különféle rendszer és felhasználói információkat gyűjt össze.

5. Lementi az alábbi mappában található állományokat:

  • %SystemDrive%Documents and SettingsAll UsersDesktop

6. Hitelesítő adatokat gyűjt ki a következő alkalmazásokból:

  • Google Chrome
  • Yandex Browser
  • Comodo Dragon
  • Amigo
  • Orbitum
  • Bromium
  • Chromium
  • Opera
  • Filezilla
  • Outlook
  • Thunderbird
  • Purple

 7. Az összegyűjtött adatokat feltölti egy távoli szerverre egy PHP-alapú weboldalon keresztül.

Támadás típusa

Trójai

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-14733 – WatchGuard Firebox Out of Bounds Write sérülékenység
CVE-2023-52163 – Digiever DS-2105 Pro Missing Authorization sérülékenység
CVE-2025-14847 – MongoDB and MongoDB Server Improper Handling of Length Parameter Inconsistency sérülékenység
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
Tovább a sérülékenységekhez »