BOINC Malware

Protejarea dispozitivelor de amenințările malware este crucială pentru menținerea atât a securității, cât și a funcționalității. Recent, infractorii cibernetici au exploatat BOINC (Berkeley Open Infrastructure for Network Computing), o utilitate legitimă pentru proiecte de calcul distribuite, pentru a executa activități amenințătoare pe sistemele infectate. Rețineți că aceasta nu este o vulnerabilitate în BOINC în sine; în schimb, malware-ul instalează ilegal BOINC pentru a-și desfășura operațiunile.

Instalare și Execuție

Malware-ul încarcă BOINC pe dispozitivele utilizatorilor fără consimțământ, folosind o încărcare utilă terță parte. Această metodă ocolește procesele tipice de instalare, asigurându-se că BOINC este instalat pe ascuns. Binarele utilizate sunt preluate direct din programul de instalare oficial BOINC 8.0.2, deși instalatorul în sine nu este angajat direct în procesul de instalare.

Operațiuni amenințătoare

La instalare, malware-ul inițiază mai multe activități nesigure:

• Crearea unui utilizator Windows ascuns : Există rapoarte neconfirmate despre crearea unui utilizator Windows ascuns, ceea ce ar putea facilita accesul neautorizat în continuare.
• Instalare serviciu : Software-ul dăunător este instalat ca serviciu pe sistemele infectate, deși detalii specifice, cum ar fi numele serviciului, sunt momentan nedezvăluite.
• Distribuția fișierelor : Copii multiple ale BOINC sunt descărcate în folderul „C:\USERNAME\AppData\Roaming” și în subfolderele acestuia, răspândindu-și prezența în sistem.
• Redenumirea executabilelor : executabilele client BOINC sunt redenumite cu nume comune de proces de sistem, cum ar fi „.exe”, „gupdate.exe”, „SecurityHealthService.exe” și „trustedinstaller.exe”. Această deghizare urmărește să evite detectarea și să se amestece cu procesele legitime.
• Crearea unui server fals : a fost raportat un server BOINC fals asemănător cu serverul legitim Rosetta@home. Deși numele său rămâne nedezvăluit din motive de securitate, acest server imită un proiect legitim pentru a înșela utilizatorii și pentru a efectua acțiuni neautorizate.

Distribuție și impact

Metoda de distribuție a acestui malware rămâne neclară, victimele speculând că ar putea fi legată de conexiuni la rețelele Wi-Fi publice. Campania pare să vizeze utilizatorii în mod specific din Statele Unite, afectând aproximativ 7.000 de dispozitive Windows, așa cum este raportat de serverul de proiect fals.

Sfaturi de atenuare și eliminare

Cercetătorii sugerează următorii pași pentru a atenua impactul acestui malware:

• Curățare Task Scheduler : Verificați și eliminați toate intrările din Task Scheduler care execută cod din folderul „Roaming”. Aceste intrări pot apărea deghizate ca procese legitime, cum ar fi actualizările Mozilla sau Google, sau pot consta pur și simplu dintr-un caracter de subliniere urmat de cifre.
• Ștergerea fișierelor : ștergeți toate fișierele nedorite stocate în folderul „Roaming” și subfolderele acestuia. Este posibil ca utilizatorii să fie nevoiți să încheie procesele folosind „Managerul de activități” pentru a se asigura că toate fișierele nesigure pot fi șterse în siguranță.

Luând aceste măsuri de precauție și rămânând vigilenți împotriva activităților și instalărilor suspecte, utilizatorii pot ajuta la protejarea dispozitivelor lor de impactul software-ului amenințător, cum ar fi malware-ul BOINC.