Κακόβουλο λογισμικό BOINC
Η προστασία των συσκευών από απειλές κακόβουλου λογισμικού είναι ζωτικής σημασίας για τη διατήρηση τόσο της ασφάλειας όσο και της λειτουργικότητας. Πρόσφατα, οι εγκληματίες του κυβερνοχώρου εκμεταλλεύτηκαν το BOINC (Berkeley Open Infrastructure for Network Computing), ένα νόμιμο βοηθητικό πρόγραμμα για κατανεμημένα υπολογιστικά έργα, για να εκτελέσουν απειλητικές δραστηριότητες σε μολυσμένα συστήματα. Σημειώστε ότι αυτό δεν είναι μια ευπάθεια στο ίδιο το BOINC. Αντίθετα, το κακόβουλο λογισμικό εγκαθιστά παράνομα το BOINC για να πραγματοποιήσει τις δραστηριότητές του.
Πίνακας περιεχομένων
Εγκατάσταση και εκτέλεση
Το κακόβουλο λογισμικό φορτώνει το BOINC στις συσκευές των χρηστών χωρίς συναίνεση χρησιμοποιώντας ωφέλιμο φορτίο τρίτου μέρους. Αυτή η μέθοδος παρακάμπτει τυπικές διαδικασίες εγκατάστασης, διασφαλίζοντας ότι το BOINC εγκαθίσταται κρυφά. Τα δυαδικά αρχεία που χρησιμοποιούνται λαμβάνονται απευθείας από το επίσημο πρόγραμμα εγκατάστασης BOINC 8.0.2, αν και το ίδιο το πρόγραμμα εγκατάστασης δεν χρησιμοποιείται άμεσα στη διαδικασία εγκατάστασης.
Απειλητικές Επιχειρήσεις
Κατά την εγκατάσταση, το κακόβουλο λογισμικό ξεκινά πολλές μη ασφαλείς δραστηριότητες:
- Δημιουργία κρυφού χρήστη των Windows : Υπάρχουν μη επιβεβαιωμένες αναφορές για δημιουργία κρυφού χρήστη των Windows, κάτι που θα μπορούσε ενδεχομένως να διευκολύνει περαιτέρω μη εξουσιοδοτημένη πρόσβαση.
- Εγκατάσταση υπηρεσίας : Το επιβλαβές λογισμικό εγκαθίσταται ως υπηρεσία στα μολυσμένα συστήματα, αν και συγκεκριμένες λεπτομέρειες, όπως το όνομα της υπηρεσίας, δεν αποκαλύπτονται επί του παρόντος.
- Διανομή αρχείων : Πολλαπλά αντίγραφα του BOINC μεταφορτώνονται στο φάκελο 'C:\USERNAME\AppData\Roaming' και στους υποφακέλους του, εξαπλώνοντας την παρουσία του σε όλο το σύστημα.
- Μετονομασία εκτελέσιμου : Τα εκτελέσιμα προγράμματα-πελάτες BOINC μετονομάζονται σε κοινά ονόματα διεργασιών συστήματος όπως «.exe», «gupdate.exe», «SecurityHealthService.exe» και «trustedinstaller.exe». Αυτή η μεταμφίεση έχει στόχο να αποφύγει τον εντοπισμό και να συνδυαστεί με νόμιμες διαδικασίες.
- Δημιουργία Fake Server : Έχει αναφερθεί ένας ψεύτικος διακομιστής BOINC που μοιάζει με τον νόμιμο διακομιστή Rosetta@home. Αν και το όνομά του παραμένει άγνωστο για λόγους ασφαλείας, αυτός ο διακομιστής μιμείται ένα νόμιμο έργο για πιθανή εξαπάτηση χρηστών και εκτέλεση μη εξουσιοδοτημένων ενεργειών.
Διανομή και αντίκτυπος
Η μέθοδος διανομής αυτού του κακόβουλου λογισμικού παραμένει ασαφής, με τα θύματα να εικάζουν ότι θα μπορούσε να συνδεθεί με συνδέσεις σε δημόσια δίκτυα Wi-Fi. Η καμπάνια φαίνεται να στοχεύει χρήστες ειδικά στις Ηνωμένες Πολιτείες, επηρεάζοντας περίπου 7.000 συσκευές Windows όπως αναφέρεται από τον ψεύτικο διακομιστή έργου.
Συμβουλές μετριασμού και αφαίρεσης
Οι ερευνητές προτείνουν τα ακόλουθα βήματα για τον μετριασμό των επιπτώσεων αυτού του κακόβουλου λογισμικού:
- Εκκαθάριση Προγραμματιστή Εργασιών : Ελέγξτε και αφαιρέστε τυχόν εγγραφές στο Χρονοδιάγραμμα εργασιών που εκτελούν κώδικα από το φάκελο «Περιαγωγή». Αυτές οι εγγραφές μπορεί να εμφανίζονται μεταμφιεσμένες ως νόμιμες διαδικασίες όπως οι ενημερώσεις Mozilla ή Google ή μπορεί απλώς να αποτελούνται από μια υπογράμμιση ακολουθούμενη από αριθμούς.
- Διαγραφή αρχείου : Διαγράψτε όλα τα ανεπιθύμητα αρχεία που είναι αποθηκευμένα στον φάκελο «Περιαγωγή» και στους υποφακέλους του. Οι χρήστες μπορεί να χρειαστεί να τερματίσουν τις διαδικασίες χρησιμοποιώντας τη «Διαχείριση εργασιών» για να διασφαλίσουν ότι όλα τα μη ασφαλή αρχεία μπορούν να διαγραφούν με ασφάλεια.
Λαμβάνοντας αυτές τις προφυλάξεις και παραμένοντας σε επαγρύπνηση έναντι ύποπτων δραστηριοτήτων και εγκαταστάσεων, οι χρήστες μπορούν να βοηθήσουν στην προστασία των συσκευών τους από τις επιπτώσεις απειλητικού λογισμικού όπως το κακόβουλο λογισμικό BOINC.
