Rultazo trójai


2016. augusztus 8. 09:20

CH azonosító

CH-13474

Angol cím

Rultazo trojan

Felfedezés dátuma

2016.07.28.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Rultazo nevű Windows operációs rendszereket támadó trójai típusú – a felhasználó adatainak lopására alkalmas – káros kód vált ismertté, amelyek az érzékeny információkat egy PHP-alapú weboldal segítségével eljuttatja a terjesztőihez.

Leírás

Első lépésként leginkább rendszerinformációkat gyűjt össze – például a számítógép és az operációs rendszer legfontosabb paramétereit is lekérdezi. Ezt követően lementi a böngészési előzményeket, illetve a Skype szoftver adatbázisfájlját. Ezt követően egyesével elkezdi a legnépszerűbb alkalmazások által eltárolt adatok kiexportálásához, többek között a Chrome, az Opera, az Outlook, a Thunderbird és a FileZilla alkalmazások tekintetében és mentett felhasználóneveket, jelszavakat próbál megszerezni.

A Rultazo az összes állományát, illetve az összegyűjtött adatokat tartalmazó fájljait a Windows átmeneti fájlok tárolására szolgáló mappájába helyezi el, majd időközönként az értékes adatokkal teli állományokat egy PHP-alapú weboldal segítségével eljuttatja a terjesztőihez.

Technikai részletek:

 1. Létrehozza a következő mappákat:

  • %Temp%[véletlenszerű karakterek]Coins
  • %Temp%[véletlenszerű karakterek]Skype
  • %Temp%[véletlenszerű karakterek]Desktop
  • %Temp%[véletlenszerű karakterek]BrowsersCookies
  • %Temp%[véletlenszerű karakterek]BrowsersAutocomplete
  • %Temp%[véletlenszerű karakterek]Browsers
  • %Temp%[véletlenszerű karakterek]Steam

2. Létrehozza az alábbi állományokat:

  • %Temp%[véletlenszerű karakterek]Programms.txt
  • %Temp%[véletlenszerű karakterek]Passwords.txt
  • %Temp%[véletlenszerű karakterek]Process.txt
  • %Temp%[véletlenszerű karakterek]Info.txt

3. Kapcsolódik egy távoli vezérlőszerverhez.

4. Különféle rendszer és felhasználói információkat gyűjt össze.

5. Lementi az alábbi mappában található állományokat:

  • %SystemDrive%Documents and SettingsAll UsersDesktop

6. Hitelesítő adatokat gyűjt ki a következő alkalmazásokból:

  • Google Chrome
  • Yandex Browser
  • Comodo Dragon
  • Amigo
  • Orbitum
  • Bromium
  • Chromium
  • Opera
  • Filezilla
  • Outlook
  • Thunderbird
  • Purple

 7. Az összegyűjtött adatokat feltölti egy távoli szerverre egy PHP-alapú weboldalon keresztül.

Támadás típusa

Trójai

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »