Rultazo trójai


2016. augusztus 8. 09:20

CH azonosító

CH-13474

Angol cím

Rultazo trojan

Felfedezés dátuma

2016.07.28.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Rultazo nevű Windows operációs rendszereket támadó trójai típusú – a felhasználó adatainak lopására alkalmas – káros kód vált ismertté, amelyek az érzékeny információkat egy PHP-alapú weboldal segítségével eljuttatja a terjesztőihez.

Leírás

Első lépésként leginkább rendszerinformációkat gyűjt össze – például a számítógép és az operációs rendszer legfontosabb paramétereit is lekérdezi. Ezt követően lementi a böngészési előzményeket, illetve a Skype szoftver adatbázisfájlját. Ezt követően egyesével elkezdi a legnépszerűbb alkalmazások által eltárolt adatok kiexportálásához, többek között a Chrome, az Opera, az Outlook, a Thunderbird és a FileZilla alkalmazások tekintetében és mentett felhasználóneveket, jelszavakat próbál megszerezni.

A Rultazo az összes állományát, illetve az összegyűjtött adatokat tartalmazó fájljait a Windows átmeneti fájlok tárolására szolgáló mappájába helyezi el, majd időközönként az értékes adatokkal teli állományokat egy PHP-alapú weboldal segítségével eljuttatja a terjesztőihez.

Technikai részletek:

 1. Létrehozza a következő mappákat:

  • %Temp%[véletlenszerű karakterek]Coins
  • %Temp%[véletlenszerű karakterek]Skype
  • %Temp%[véletlenszerű karakterek]Desktop
  • %Temp%[véletlenszerű karakterek]BrowsersCookies
  • %Temp%[véletlenszerű karakterek]BrowsersAutocomplete
  • %Temp%[véletlenszerű karakterek]Browsers
  • %Temp%[véletlenszerű karakterek]Steam

2. Létrehozza az alábbi állományokat:

  • %Temp%[véletlenszerű karakterek]Programms.txt
  • %Temp%[véletlenszerű karakterek]Passwords.txt
  • %Temp%[véletlenszerű karakterek]Process.txt
  • %Temp%[véletlenszerű karakterek]Info.txt

3. Kapcsolódik egy távoli vezérlőszerverhez.

4. Különféle rendszer és felhasználói információkat gyűjt össze.

5. Lementi az alábbi mappában található állományokat:

  • %SystemDrive%Documents and SettingsAll UsersDesktop

6. Hitelesítő adatokat gyűjt ki a következő alkalmazásokból:

  • Google Chrome
  • Yandex Browser
  • Comodo Dragon
  • Amigo
  • Orbitum
  • Bromium
  • Chromium
  • Opera
  • Filezilla
  • Outlook
  • Thunderbird
  • Purple

 7. Az összegyűjtött adatokat feltölti egy távoli szerverre egy PHP-alapú weboldalon keresztül.

Támadás típusa

Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »