A játék neve: Carberp

2012. január 30. 14:10 - Csizmazia Darab István [Rambo]

A Carberp trójai eddig sem volt ismeretlen a biztonsági szakemberek előtt. Azonban az evolúció jegyében a kártevő most új oldaláról mutatkozott be: ezúttal Facebook felhasználók pénztárcáját kopasztotta meg.

Ha beleolvasunk a Win32/Carberp trójairól szóló hírbe, nagyjából minden fajta aktivitást összefoglal a róla szóló leírás. Eszerint készítői egy nagyon összetett és komplex kártékony programot hoztak létre, amely számtalan nemkívánatos tevékenység végrehajtására képes. Ezek közül mindenképpen kiemelkedik az adatlopás, melynek során FTP-jelszavakat, webes szolgáltatásokhoz és postafiókokhoz tartozó hitelesítési információkat valamint banki alkalmazások esetében használt bejelentkezési adatokat gyűjt össze, majd szivárogtat ki a terjesztői számára. A jelenlegi variánsai az Internet Explorer valamint a Firefox folyamatos monitorozására is alkalmasak.

Ehhez képest lehet újdonság az a pénzügyi csalás trükk, melynél az áldozatok egy hamis bejelentkezési üzenetablakot kapnak a böngészőjükben, miszerint az adott Facebook felhasználó fiókja ideiglenes zárva. Vegyük észre, hogy az adatbekérő űrlap legalsó sorában egy 20 EUR értékű úgynevezett Ukash utalványt kérnek, ez azért a tapasztaltabb felhasználóknál mindenképpen meg kellene szólaltassa fejükben a vészcsengőt. A statisztikák szerint a maradék lépremenő 5% százalék azonban sajnos megpróbálja beszerezni ezt a bizonyos Ukash vochert, hogy sikeresen be tudja gépelni annak sorszámát. Mivel az ablak szerint ez nem pénzkidobás, hiszen az összeg az ellenőrzés után állítólag jóváírásra kerül a Facebook accountunkra, ez esetleg tévesen elültetheti a tapasztalatlanabb felhasználók gyanakvását.

A kártevő ravaszul tartalmazza ennek a hamis Facebook bejelentkező weboldalnak a HTTP kódját, ezt a visszafejtésnél szépen megtalálni, illetve arra is találtak az ESET elemzői bizonyítékokat, hogy DDoS támadásra alkalmas plugint is kifejlesztettek már hozzá. Nekünk magyaroknak talán az jó hír lehetett, hogy a Carberp ezideig elsősorban oroszországi, ukrán, fehérorosz, kazahsztáni felhasználók banki belépéseire jelentett veszélyt, mondhatni ez volt a fő specialitása, illetve becslések szerint mintegy egymillió gépet meg is fertőzött már a Carberp nevezetű botnet.

A fentiek alapján azonban valószínűleg új helyszíneken, már angol nyelvű közösségi terepen is jól vizsgázhatott a Carberp - magyarul vélhetően elegendő óvatlan felhasználó dőlt be ennek a csalásnak és költött el a semmiért 20 EUR összeget - ezért a jövőben sajnos várhatóak további, hasonló leleményes trójai próbálkozások a bűnözők részéről az orosz nyelvterületeken kívül is. "Vagy mégsem" nevű rovatunkban mi is rendszeresen számolunk be olyan social engineering trükkökről, amelyben Google+ meghívó, Microsoft Update, Microsoft távoli hozzáférés vagy éppen Twitter bejelentkező oldalt hamisítanak a csalók, ezért az óvatosság, az odafigyelés továbbra is fontos eleme a biztonságnak.

Ellenszernek továbbra is javasolható a naprakész operációs rendszer és a friss vírusirtó, de természetesen az előbb említett emberi oldalnak is rendben kell lennie, azaz ami ingyenes, azért ne fizessünk. Ha valamilyen ingyenes dologért pedig mégis pénzt kérnek, gyanakodjunk, nézzünk előbb utána, illetve használjuk továbbra is szorgalmasan a biztonságos HTTPS belépést mindenütt, ahol csak lehet.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr293976892

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.