Η εταιρεία ασφάλειας Proofpoint ανακάλυψε μια νέα μορφή κακόβουλου λογισμικού (Malware) που κοστίζει μόλις 7 δολάρια και έχει τη δυνατότητα μη εντοπισμού από λογισμικό προστασίας από ιούς.
Μετά από μια σε βάθος ανάλυση του κακόβουλου λογισμικού, η Proofpoint εξηγεί ότι το Ovidiy Stealer κοστίζει από 450 έως 750 ρούβλια (δηλαδή από 7 έως 13 USD), και περιλαμβάνει ένα precompiled εκτελέσιμο αρχείο.
Η εταιρεία αναφέρει ότι το αρχείο είναι κρυπτογραφημένο για να «αποτρέψει την ανάλυση και την ανίχνευση» και ενώ η λοίμωξη μπορεί να ανιχνευθεί από ορισμένες λύσεις προστασίας από ιούς, αναφέρεται με μια γενική περιγραφή που λέει ελάχιστα για το σκοπό του Malware.
Το Ovidiy Stealer εξαπλώνεται συνήθως με τη βοήθεια εκτελέσιμων συνημμένων ηλεκτρονικού ταχυδρομείου, συμπιεσμένων εκτελέσιμων συνημμένων και συνδέσμων που οδηγούν σε ιστοτόπους με cracks και keygens. Σε όλες τις περιπτώσεις, το συμπεριλαμβανόμενο αρχείο είναι ένα εκτελέσιμο αρχείο που περιέχει το κακόβουλο λογισμικό.
Το κακόβουλο λογισμικό στοχεύει πολλές δημοφιλείς λύσεις λογισμικού, όπως το Google Chrome, το πρόγραμμα περιήγησης Opera, το Filezilla και το πρόγραμμα περιήγησης Torch.
“Έχουμε παρατηρήσει ότι κυκλοφορούν οι εκδόσεις από 1.0.1 έως και 1.0.5. Το Ovidiy Stealer είναι γραμμένο σε .NET και τα περισσότερα δείγματά του συσκευάζονται είτε με την εφαρμογή .NET Reactor είτε με το Confuser. Κατά την εκτέλεση, το κακόβουλο λογισμικό παραμένει στο φάκελο στον οποίο εγκαταστάθηκε και όπου θα αρχίσει να εκτελεί όλες τις διεργασίες του. Το περίεργο είναι, ότι δεν υπάρχει κάποιος μηχανισμός που το επανεκκινεί κατά την επανεκκίνηση. Έτσι μετά από τον τερματισμό του συστήματος το malware θα σταματήσει να τρέχει, αλλά ο φάκελος θα παραμείνει στο σύστημα”, αναφέρει η Proofpoint.
Μόλις μολύνει ένα μηχάνημα, το malware χρησιμοποιεί συνδέσεις SSL/TLS για την επικοινωνία του με ένα διακομιστή διοίκησης και ελέγχου και αναζητά κωδικούς πρόσβασης στις εφαρμογές που αναφέρονται παραπάνω για να τους παραδώσει στους hackers. Αποστέλλει πληροφορίες όπως το αναγνωριστικό του επεξεργαστή, της ιστοσελίδας με τα αποθηκευμένα διαπιστευτήρια, στοχευμένες εφαρμογές, όνομα χρήστη και κωδικούς πρόσβασης.
Πολλά ενημερωμένα δείγματα του malware έχουν ήδη εντοπιστεί ηλεκτρονικά, οπότε ενημερώνοντας το λογισμικό ασφαλείας που χρησιμοποιείτε και ελέγχοντας πάντα δύο φορές πριν από τη λήψη αρχείων που προέρχονται από μη αξιόπιστες πηγές φαίνεται να είναι οι δύο καλύτεροι τρόποι για να παραμείνετε προστατευμένοι.