BOINC Malware

Mbrojtja e pajisjeve nga kërcënimet e malware është thelbësore për ruajtjen e sigurisë dhe funksionalitetit. Kohët e fundit, kriminelët kibernetikë kanë shfrytëzuar BOINC (Berkeley Open Infrastructure for Network Computing), një mjet legjitim për projektet kompjuterike të shpërndara, për të ekzekutuar aktivitete kërcënuese në sistemet e infektuara. Vini re se kjo nuk është një cenueshmëri në vetë BOINC; në vend të kësaj, malware instalon në mënyrë të paligjshme BOINC për të kryer operacionet e tij.

Instalimi dhe Ekzekutimi

Malware ngarkon BOINC në pajisjet e përdoruesve pa pëlqimin duke përdorur një ngarkesë të palës së tretë. Kjo metodë anashkalon proceset tipike të instalimit, duke siguruar që BOINC të instalohet në mënyrë të fshehtë. Binarët e përdorur janë marrë direkt nga instaluesi zyrtar i BOINC 8.0.2, megjithëse vetë instaluesi nuk përdoret drejtpërdrejt në procesin e instalimit.

Operacione kërcënuese

Pas instalimit, malware fillon disa aktivitete të pasigurta:

• Krijimi i përdoruesit të fshehur të Windows : Ka raporte të pakonfirmuara të krijimit të një përdoruesi të fshehur të Windows, i cili mund të lehtësojë aksesin e mëtejshëm të paautorizuar.
• Instalimi i shërbimit : Softueri i dëmshëm është instaluar si shërbim në sistemet e infektuara, megjithëse detaje të veçanta, si emri i shërbimit, aktualisht janë të pazbuluara.
• Shpërndarja e skedarëve : Kopje të shumta të BOINC shkarkohen në dosjen 'C:\USERNAME\AppData\Roaming' dhe në nëndosjet e saj, duke përhapur praninë e tij në të gjithë sistemin.
• Riemërtimi i ekzekutueshëm : ekzekutuesit e klientit BOINC riemërtohen në emra të zakonshëm të procesit të sistemit si '.exe', 'gupdate.exe', 'SecurityHealthService.exe' dhe 'trustedinstaller.exe.' Ky maskim synon të shmangë zbulimin dhe të përzihet me proceset legjitime.
• Krijimi i serverit të rremë : Është raportuar një server i rremë BOINC që i ngjan serverit legjitim Rosetta@home. Megjithëse emri i tij mbetet i pazbuluar për arsye sigurie, ky server imiton një projekt legjitim për të mashtruar potencialisht përdoruesit dhe për të kryer veprime të paautorizuara.

Shpërndarja dhe ndikimi

Mënyra e shpërndarjes së këtij malware mbetet e paqartë, me viktimat që spekulojnë se mund të lidhet me lidhjet me rrjetet publike Wi-Fi. Fushata duket se synon përdoruesit në mënyrë specifike në Shtetet e Bashkuara, duke prekur rreth 7,000 pajisje Windows siç raportohet nga serveri i rremë i projektit.

Këshilla për zbutjen dhe heqjen

Studiuesit sugjerojnë hapat e mëposhtëm për të zbutur ndikimin e këtij malware:

• Pastrimi i programuesit të detyrave : Kontrolloni dhe hiqni çdo hyrje në Planifikimin e detyrave që ekzekuton kodin nga dosja 'Roaming'. Këto shënime mund të duken të maskuara si procese legjitime të tilla si përditësimet e Mozilla ose Google, ose mund të përbëhen thjesht nga një nënvizim i ndjekur nga numra.
• Fshirja e skedarit : Fshini të gjithë skedarët e padëshiruar të ruajtur në dosjen 'Roaming' dhe nëndosjet e saj. Përdoruesit mund të kenë nevojë të përfundojnë proceset duke përdorur "Task Manager" për të siguruar që të gjithë skedarët e pasigurt mund të fshihen në mënyrë të sigurt.

Duke marrë këto masa paraprake dhe duke qëndruar vigjilentë ndaj aktiviteteve dhe instalimeve të dyshimta, përdoruesit mund të ndihmojnë në mbrojtjen e pajisjeve të tyre nga ndikimet e softuerit kërcënues si malware BOINC.