Továbbra is fertőznek a rejtett kriptovaluta bányász kártevők

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2018. februárjában a következő 10 károkozó terjedt a legnagyobb számban.

A Top10 listát változatlanul hatalmas fölénnyel a JS/CoinMiner trójai vezeti. A JS/CoinMiner olyan szkript, amely a felhasználó tudta nélkül képes a kriptográfiai valuták bányászatára. A kártevő segítségével észrevétlenül Feathercoin, Litecoin vagy Monero bányászatra használják az áldozat számítógépének erőforrásait, és az érintett felhasználók nagy száma miatt a támadók ezzel jelentős bevételekre tehetnek szert. A weboldalak megfertőzésével ugyanis egyszerűbben lehet sok felhasználót elérni, mint az áldozatok gépeit egyenként megfertőzni.

További helyezettek is próbálkoznak még rejtett kriptovaluta bányászattal, ugyanis a hatodik és kilencedik helyezettként a 32 bites, illetve 64 bites Windows rendszereken terjedő Win32/CoinMiner, illetve Win64/CoinMiner kártevőt találhatjuk. Ezek a trójai programok szintén képesek a megfertőzött számítógépen a felhasználó tudta nélkül kriptográfiai bányászat végrehajtására. Emellett azért, hogy nehezítsék a víruslaborok visszafejtő, elemző munkáját, egyes változatok képesek észlelni, hogy fut-e kódelemző debugger a háttérben, illetve hogy virtuális gépben futtatják-e, ilyenkor azonnal megszakítja a futását és kilép.

Újra köreinkben köszönthetjük a JS/Adware.AztecMedia adware-t, ezúttal a harmadik helyre tudott felkapaszkodni. Ez egy olyan adware alkalmazás, amelyet kéretlen hirdetések megjelenítésére terveztek. A rosszindulatú program kódja jellemzően észrevétlenül beágyazódik az adott HTML oldalakba. Hosszú szünet után jelentkezett újra a HTML/Refresh trójai, és a toplista tizedik helyét sikerült megszereznie. Ez egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú webcímekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.

Az ESET Radar Report e havi kiadása ezúttal egy olyan új keletű veszélyre figyelmeztet, amelyben a legnépszerűbb internetező alkalmazás, a Google Chrome felhasználókat célozzák meg. A támadók hamis üzeneteket hoznak létre a böngészőablakban, amely látszólag a Microsoft nevében arra figyelmezteti a felhasználót, hogy állítólag kémprogrammal fertőződött meg a gépe, és emiatt zárolják a további böngészést, lefagyasztják a böngésző programunkat. A javasolt teendő szerint a mellékelt telefonszámon tárcsázni kellene a Microsoft technikai segítségvonalát, amely mondani sem kell, hogy a csalók hamis support száma. Ha valaki gyanútlanul felhívja őket, akkor egyrészt igyekeznek egy fertőzött weboldalra elcsalni, illetve távsegítség nyújtás ürügyén hátsóajtót próbálnak meg telepíteni az áldozat gépére, amelynek segítségével távolról átvehetik a vezérlést a számítógép felett. Illetve az is gyakori forgatókönyv még ilyenkor, hogy az állítólagos "segítségnyújtás" ellenértékeként komoly összeget igyekeznek behajtani rajtunk.

Védekezésképpen fontos, hogy mindig naprakészen tartsuk nem csak a Windows rendszert, hanem az összes alkalmazásunkat is. A hibajavítások futtatása mellett használjunk komplex internetbiztonsági védelmi szoftvert, és ne dőljünk be az olyan megtévesztéseknek, amelyben a Microsoft, vagy más neves cégek nevével visszaélve ismeretlenek távoli hozzáférést szeretnének állítólagos javítás ürügyén a számítógépünkhöz. A Microsoft valódi elérhetőségét mindig megtalálhatjuk a weboldalukon, ám ők biztosan nem folyamodnak ilyen felbukkanó ablakos telefonhívás kérésre. Ha pedig szervizelésre, javításra szorulunk, akkor is kizárólag megbízható, leinformálható szervizhez forduljunk.

Blogmustra
Az antivírus blog februári fontosabb blogposztjai között először arról írtunk, hogy az FBI figyelmeztetett bennünket hamis FBI figyelmeztetésre. Valójában arról volt szó, hogy csalók többféle verzióban is hamis kéretlen e-maileket küldözgettek az FBI IC3 (Feds' Internet Crime Complaint Center) nevében.

Szóba került továbbá, hogy történelmi csúcson vannak a sebezhetőségek. Ha vírusokról, kártevőkről beszélünk, egyértelmű, hogy ezáltal a különféle nyitott biztonsági rések, javítatlan sérülékenységek aktív kihasználásáról is szó van.

Írtunk arról is, hogy ismeretlen elkövetők magukat híres embereknek (Elon Musk/Tesla, Vitalik Buterin/Ethereum, John McAfee, Warren Buffet) kiadva olyan csaló Twitter bejegyzéseket tettek közzé, amelyben a követőiknek Bitcoinok, és Ethereumok szétosztását ígérték.

Beszámoltunk emellett arról is, hogy bár pontosan nem tudni, mennyi valóságalapja van, mindenesetre a világszerte népszerű Huawei telefonok használatának állítólagos veszélyére hívta fel a figyelmet az USA-ban az FBI, a CIA és az NSA vezetője. A gyártó szerint viszont nem jelentenek nagyobb kiberbiztonsági kockázatot, mint bármely más konkurens termék.

Végül pedig arról is szóltunk, hogy a 2018. február 26-i, Barcelonában megrendezett Mobile World Congress eseményen mutatkozott be az ESET Smart TV Security alkalmazás. A védelmi megoldás a hálózatba kötött televíziók és más, az Android TV operációs rendszert futtató eszközök számára nyújt védelmet.

Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2018. februárjában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 42.36%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.

01. JS/CoinMiner trójai
Működés: A JS/CoinMiner olyan szkript, amely a felhasználó tudta nélkül képes a kriptográfiai valuták bányászatára. A szkriptek különféle rosszindulatú webhelyeken találhatók, ahol a támadók például videómegosztó, böngészőben futó játékoldalak weboldal kódjába vagy pedig rosszindulatú hirdetésekbe rejtik el. A kártevő segítségével észrevétlenül Feathercoin, Litecoin vagy Monero bányászatra használják az áldozat számítógépének erőforrásait, és az érintett felhasználók nagy száma miatt ezzel jelentős bevételekre tehetnek szert.
Bővebb információ: http://www.virusradar.com/en/JS_CoinMiner.P/description

02. HTML/ScrInject trójai
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen

03. JS/Adware.AztecMedia adware
Működés: A JS/Adware.AztecMedia egy olyan adware alkalmazás, amelyet kéretlen hirdetések megjelenítésére terveztek. A rosszindulatú program kódja jellemzően észrevétlenül beágyazódik az adott HTML oldalakba.
Bővebb információ: http://www.virusradar.com/en/JS_Adware.AztecMedia/detail

04. SBM/Exploit.DoublePulsar exploit
Működés: Az SBM/Exploit.DoublePulsar néven észlelhető kártékony kód képes megfertőzni azokat a sérülékeny rendszereket, amelyek a CVE-2017-0145 sebezhetőség elleni javítófoltot még nem futtatták le. Ez az a bizony sérülékenység, amelyet az NSA-től loptak el, és a későbbi tömeges WannaCryptor, illetve WannaCry zsarolóvírusos fertőzésekért felelős.
Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/383816

05. JS/Adware.Imali adware
Működés: A JS/Adware.Imali egy olyan adware alkalmazás, amelyet kéretlen hirdetések megjelenítésére terveztek. A rosszindulatú program kódja jellemzően észrevétlenül beágyazódik az adott HTML oldalakba.
Bővebb információ: http://www.virusradar.com/en/JS_Adware.Imali/detail

06. Win32/CoinMiner trójai
Működés: A Win32/CoinMiner gyűjtőnévvel olyan kártevő szkriptekre hivatkozunk, amelyek a megfertőzött számítógépen a felhasználó tudta nélkül képesek a kriptográfiai bányászat végrehajtására. Az ilyen trójai szkriptek kiindulópontjai lehetnek rosszindulatú webhelyek, kártékony hirdetésekben is fellelhetőek, illetve legitim, de feltört, weblapok kódjaiban is megtalálhatóak. A trójai egyes változatai képesek észlelni, hogy fut-e kódelemző debugger a háttérben, illetve hogy virtuális gépben futtatják-e, ilyenkor azonnal kilép, ezzel nehezítve a víruslaborok visszafejtő, elemző munkáját. Ez a kártevőverzió a 32 bites Microsoft Windows rendszerek alatt képes kifejteni káros hatását.
Bővebb információ: http://www.virusradar.com/en/Win32_CoinMiner.KX/description

07. JS/Redirector trójai
Működés: A JS/Redirector trójai az ál-antivírusokhoz hasonlóan hamis riasztásokat jelenít meg a megfertőzött számítógép böngészőjében. Célja, hogy hamisított (például hamis banki) oldalakra csaljon bennünket, közben pedig hátsó ajtót nyit a megtámadott gépen, különféle weboldalhoz kísérel meg csatlakozni, és azokról további kártékony kódokat tölt le.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/!redirector

08. JS/Adware.Revizer adware
Működés: A JS/Adware.Revizer adware egy olyan kártékony program, amelyet a megfertőzött számítógépen a felhasználó jóváhagyása nélkül kéretlen hirdetések megjelenítésére terveztek. Az ehhez szükséges rosszindulatú programok programkódja általában észrevétlenül beágyazódik a különböző weboldalak HTML kódjába. Mindeközben igyekszik hátsóajtót is telepíteni a számítógépre, ezzel pedig lehetővé teszi a távoli támadók számára, hogy illetéktelenül hozzáférhessenek a kompromittálódott számítógéphez.
Bővebb információ: http://www.virusradar.com/en/JS_Adware.Revizer.A/description

09. Win64/CoinMiner trójai
Működés: A Win64/CoinMiner gyűjtőnévvel olyan kártevő szkriptekre hivatkozunk, amelyek a megfertőzött számítógépen a felhasználó tudta nélkül képesek a kriptográfiai bányászat végrehajtására. Az ilyen trójai szkriptek kiindulópontjai lehetnek rosszindulatú webhelyek, kártékony hirdetésekben is fellelhetőek, illetve legitim, de feltört, weblapok kódjaiban is megtalálhatóak. A trójai egyes változatai képesek észlelni, hogy fut-e kódelemző debugger a háttérben, illetve hogy virtuális gépben futtatják-e, ilyenkor azonnal kilép, ezzel nehezítve a víruslaborok visszafejtő, elemző munkáját. Ez a kártevőverzió a 64 bites Microsoft Windows rendszerek alatt képes kifejteni káros hatását.
Bővebb információ: http://www.virusradar.com/en/Win64_CoinMiner.IR/description

10. HTML/Refresh trójai
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.
Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail