Шкідливе програмне забезпечення BOINC

Захист пристроїв від загроз зловмисного програмного забезпечення має вирішальне значення для підтримки безпеки та функціональності. Нещодавно кіберзлочинці використовували BOINC (Berkeley Open Infrastructure for Network Computing), законну утиліту для розподілених обчислювальних проектів, щоб виконувати загрозливі дії в заражених системах. Зверніть увагу, що це не вразливість самого BOINC; замість цього зловмисне програмне забезпечення незаконно встановлює BOINC для виконання своїх операцій.

Монтаж і Виконання

Зловмисне програмне забезпечення завантажує BOINC на пристрої користувачів без згоди за допомогою стороннього корисного навантаження. Цей метод обходить типові процеси інсталяції, забезпечуючи таємне встановлення BOINC. Використані двійкові файли взято безпосередньо з офіційного інсталятора BOINC 8.0.2, хоча сам інсталятор безпосередньо не використовується в процесі встановлення.

Загрозливі операції

Після встановлення зловмисне програмне забезпечення починає кілька небезпечних дій:

• Створення прихованого користувача Windows : є непідтверджені звіти про створення прихованого користувача Windows, що потенційно може сприяти подальшому несанкціонованому доступу.
• Встановлення служби : шкідливе програмне забезпечення встановлюється як служба на заражених системах, хоча конкретні деталі, такі як назва служби, наразі не розголошуються.
• Розповсюдження файлів : кілька копій BOINC завантажуються в папку «C:\USERNAME\AppData\Roaming» і її підпапки, поширюючи його присутність по всій системі.
• Перейменування виконуваних файлів : виконувані файли клієнта BOINC перейменовуються на загальні назви системних процесів, наприклад «.exe», «gupdate.exe», «SecurityHealthService.exe» та «trustedinstaller.exe». Це маскування спрямоване на те, щоб уникнути виявлення та злитися з законними процесами.
• Створення підробленого сервера : повідомляється про підроблений сервер BOINC, схожий на законний сервер Rosetta@home. Хоча його назва залишається нерозголошеною з міркувань безпеки, цей сервер імітує законний проект для потенційного обману користувачів і виконання несанкціонованих дій.

Розповсюдження та вплив

Спосіб розповсюдження цього зловмисного програмного забезпечення залишається неясним, жертви припускають, що воно може бути пов’язане з підключенням до загальнодоступних мереж Wi-Fi. Схоже, що кампанія націлена саме на користувачів у Сполучених Штатах, зачіпаючи приблизно 7000 пристроїв Windows, як повідомляє підроблений сервер проекту.

Поради щодо пом’якшення та видалення

Дослідники пропонують такі кроки, щоб пом’якшити вплив цього шкідливого програмного забезпечення:

• Очищення планувальника завдань : перевірте та видаліть усі записи в планувальнику завдань, які виконують код із папки «Роумінг». Ці записи можуть виглядати замаскованими під законні процеси, як-от оновлення Mozilla або Google, або можуть просто складатися з підкреслення, за яким слідують цифри.
• Видалення файлу : видаліть усі непотрібні файли, що зберігаються в папці «Роумінг» та її вкладених папках. Користувачам може знадобитися припинити процеси за допомогою «Диспетчера завдань», щоб переконатися, що всі небезпечні файли можна безпечно видалити.

Вживаючи цих запобіжних заходів і залишаючись пильними щодо підозрілих дій і інсталяцій, користувачі можуть допомогти захистити свої пристрої від впливу загрозливого програмного забезпечення, наприклад зловмисного ПЗ BOINC.