Η Symantec προειδοποιεί για έξαρση του Trojan Viknok. Πριν την εμφάνιση των Ransomware, οι απάτες για συλλογή clicks ήταν από τους δημοφιλέστερους και τους πιο αποτελεσματικούς τρόπους για να κερδίζουν χρήματα οι εγκληματίες του κυβερνοχώρου.
Η τεχνική “Click-Fraud” είναι η πρακτική συλλογής κλικ σε διαφημίσεις που έχει σαν στόχο την αύξηση των εσόδων στις ιστοσελίδες που τη χρησιμοποιούν.
Σύμφωνα με την Symantec, εμφανίστηκε ένα νέο κακόβουλο λογισμικό που χρησιμοποιείται από εγκληματίες του κυβερνοχώρου για τη συλλογή clicks. Τον περασμένο μήνα , οι ερευνητές της εταιρείας παρατήρησαν μια αύξηση των λοιμώξεων από ένα κακόβουλο λογισμικό που ονομάστηκε Trojan.Viknok.
Το Trojan.Viknok παρατηρήθηκε για πρώτη φορά από τους ερευνητές ασφαλείας τον Απρίλιο του 2013. Οι ερευνητές κατάλαβαν ότι το κακόβουλο λογισμικό ήταν μια εξελιγμένη απειλή, επειδή είχε την ικανότητα να μετατρέψει τον υπολογιστή των θυμάτων σε ένα botnet. Για να το κάνει αυτό, το κακόβουλο λογισμικό μπορεί να αποκτήσει προνόμια διαχειριστή του λειτουργικού συστήματος για να μολύνει τα αρχεία του συστήματος σε πολλαπλά λειτουργικά συστήματα των Windows, όπως στις εκδόσεις 32 και 64 – bit των Windows XP, Vista και 7.
Στη συνέχεια, οι μολυσμένοι υπολογιστές από το Viknok, χρησιμοποιούνταν από εγκληματίες του κυβερνοχώρου για τη διεξαγωγή ad-Click-Fraud.
“Οι απατεώνες πίσω από την τρέχουσα εκστρατεία Viknok προσπαθούν να προσθέσουν όλο και περισσότερα θύματα στο AdClick botnet τους, για να κερδίσουν περισσότερα χρήματα, αναφέρει το δημοσίευμα της Symantec.
Πως μολύνει το Viknok τους υπολογιστές;
Το Viknok είναι αρκετά εξελιγμένο όπως προαναφέραμε και μολύνει τους υπολογιστές των θυμάτων πραγματοποιώντας injection στο ωφέλιμο φορτίο του στα αρχεία DLL, του συστήματος. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν αρκετές μεθόδους για να μολύνει αρχεία, όπως το rpcss.dll, μια βιβλιοθήκη που εκτελείται κάθε φορά που ξεκινούν τα Windows. Έτσι, αφού εισβολέας μπορεί να μολύνει το αρχείο rpcss.dll, ο κακόβουλος κώδικας εκτελείται κάθε φορά που ξεκινούν τα Windows.
«Σε πολλές περιπτώσεις , η διαδικασία της μόλυνσης είναι εντελώς λαθραία, η απειλή δεν δείχνουν καμία προειδοποίηση προς το χρήστη. Το κακόβουλο λογισμικό είναι επίσης δύσκολο να ανιχνευθεί, δεδομένου ότι δεν παρουσιάζει καμία ύποπτη διεργασία να εκτελείται, ούτε μολύνει κάποια από τα βασικά σημεία του συστήματος” αναφέρουν οι ερευνητές της Symantec στο blog τους.
Όταν το κακόβουλο λογισμικό αρχίσει να τρέχει, το User Account Control ( UAC ) του συστήματος ζητάει από το θύμα, να δώσει τα δικαιώματα που χρειάζεται. Αν ο χρήστης δεν δώσει την άδεια τους, το σύστηματου δεν θα μολυνθεί. Όμως το κακόβουλο λογιαμικό μεταμφιέζεται σε κάποια διεργασία που είναι οικία στον χρήστη, για να του αποσπάσει την άδεια του και να αποκτήσει τα δικαιώματα που χρειάζεται.
Μόλις χορηγηθεί η άδεια από τον ιδιοκτήτη του συστήματος, ο εισβολέας μπορεί να στείλει εξ αποστάσεως εντολές και να φορτώσει διάφορες ιστοσελίδες. Οι ιστοσελίδες προσφέρουν ασφάλειες αυτοκινήτων , ταξιδιωτικά εισιτήρια, καταχωρήσεις domain names, και πολλές άλλες υπηρεσίες.
Ο αριθμός των μολύνσεων Viknok έχει αυξηθεί κατακόρυφα κατά τη διάρκεια των τελευταίων μηνών. Από τον Ιανουάριο μέχρι τον Απρίλιο, ο αριθμός των μοναδικών λοιμώξεων αυξήθηκε από 10.000 σε 22.000. Πάνω από 16.500 μοναδικές λοιμώξεις με Viknok έχουν παρατηρηθεί μόνο κατά την πρώτη εβδομάδα του Μαΐου. Η πλειοψηφία των θυμάτων βρίσκονται στις Ηνωμένες Πολιτείες.
