BOINC-malware

Het beschermen van apparaten tegen malwarebedreigingen is van cruciaal belang voor het behoud van zowel de beveiliging als de functionaliteit. Onlangs hebben cybercriminelen BOINC (Berkeley Open Infrastructure for Network Computing), een legitiem hulpprogramma voor gedistribueerde computerprojecten, uitgebuit om bedreigende activiteiten uit te voeren op geïnfecteerde systemen. Merk op dat dit geen kwetsbaarheid in BOINC zelf is; in plaats daarvan installeert de malware BOINC illegaal om zijn activiteiten uit te voeren.

Installatie en uitvoering

De malware laadt BOINC zonder toestemming op de apparaten van gebruikers met behulp van een payload van derden. Deze methode omzeilt typische installatieprocessen en zorgt ervoor dat BOINC heimelijk wordt geïnstalleerd. De gebruikte binaire bestanden zijn rechtstreeks afkomstig uit het officiële BOINC-installatieprogramma 8.0.2, hoewel het installatieprogramma zelf niet rechtstreeks wordt gebruikt in het installatieproces.

Bedreigende operaties

Na installatie initieert de malware verschillende onveilige activiteiten:

• Aanmaak van een verborgen Windows-gebruiker : Er zijn onbevestigde berichten dat er een verborgen Windows-gebruiker wordt aangemaakt, wat mogelijk verdere ongeautoriseerde toegang zou kunnen vergemakkelijken.
• Service-installatie : Schadelijke software wordt als service op de geïnfecteerde systemen geïnstalleerd, hoewel specifieke details zoals de naam van de service momenteel niet openbaar worden gemaakt.
• Bestandsdistributie : Meerdere exemplaren van BOINC worden gedownload naar de map 'C:\USERNAME\AppData\Roaming' en zijn submappen, waardoor de aanwezigheid ervan over het systeem wordt verspreid.
• Hernoemen van uitvoerbare bestanden : De uitvoerbare bestanden van BOINC-clients worden hernoemd naar algemene systeemprocesnamen zoals '.exe', 'gupdate.exe', 'SecurityHealthService.exe' en 'trustedinstaller.exe'. Deze vermomming is bedoeld om detectie te omzeilen en op te gaan in legitieme processen.
• Creatie van een nepserver : Er is melding gemaakt van een nep-BOINC-server die lijkt op de legitieme Rosetta@home-server. Hoewel de naam om veiligheidsredenen niet openbaar wordt gemaakt, bootst deze server een legitiem project na om gebruikers mogelijk te misleiden en ongeautoriseerde acties uit te voeren.

Distributie en impact

De distributiemethode van deze malware blijft onduidelijk, waarbij slachtoffers speculeren dat deze gekoppeld kan zijn aan verbindingen met openbare Wi-Fi-netwerken. De campagne lijkt zich specifiek te richten op gebruikers in de Verenigde Staten en treft ongeveer 7.000 Windows-apparaten, zoals gerapporteerd door de nep-projectserver.

Advies over mitigatie en verwijdering

Onderzoekers stellen de volgende stappen voor om de impact van deze malware te beperken:

• Taakplanner opschonen : controleer en verwijder alle vermeldingen in de Taakplanner die code uitvoeren uit de map 'Roaming'. Deze vermeldingen kunnen vermomd lijken als legitieme processen zoals Mozilla- of Google-updates, of kunnen eenvoudigweg bestaan uit een onderstrepingsteken gevolgd door cijfers.
• Bestanden verwijderen : verwijder alle ongewenste bestanden die zijn opgeslagen in de map 'Roaming' en de submappen ervan. Gebruikers moeten mogelijk processen beëindigen met behulp van 'Taakbeheer' om ervoor te zorgen dat alle onveilige bestanden veilig kunnen worden verwijderd.

Door deze voorzorgsmaatregelen te nemen en waakzaam te blijven tegen verdachte activiteiten en installaties, kunnen gebruikers hun apparaten helpen beschermen tegen de gevolgen van bedreigende software zoals de BOINC-malware.