Stresspaint trooja varastab Facebooki sisselogimisandmeid

Alice Woods poolt - -

Stresspaint pahavara varastab Facebooki sisselogimisandmeid, maskeerudes Relieve Stress Paint rakenduse taha

Facebook login credentials stolen by Stresspaint malware

2018. aasta aprilli keskpaigas tuvastati pahavara nimega Stresspaint, mis kogus Facebooki kasutajate sisselogimisandmeid. Häkitud aol.net veebilehe kaudu levitatav pahavara suutis 12. – 16. aprilli vahemikus nakatada enam kui 40 000 arvutit. Radware uurijate sõnul nakatas StressPaint trooja Vietnami, Venemaa, Pakistani, Indoneesia, Ukraina ja Itaalia elanikke eriti märkimisväärselt. 

Allikate sõnul levitatakse andmeid varastavat pahavara häkitud aol.net veebilehe kaudu ning petturlike e-kirjade vahendusel, mis promovad rakendust Relieve Stress Paint. Seda rakendust levitatakse üheskoos Stresspaint pahavaraga, mis pärast käivitumist avab taustal Facebooki ja hakkab koguma sisselogimisandmeid, sessiooniküpsiseid, võrgustikuandmeid ja muid potentsiaalselt isikustatud andmeid.  

Amazon – järgmine sihtmärk

Stresspaint pahavara arendajad ei tundu ennast piiravat Facebookiga. Pahavara uurijate sõnul võivad varsti olla sihikuks Amazoni kasutajate andmed. 

Uurijad avastasid, et petturid, kes haldavad Facebooki andmeid varastava pahavaraga seotud Relieve Stress Paint tööriista levitamist, kasutavad Hiina avatud CMS süsteemi, nimega Layuicms2.0. Pärast põhjalikku analüüsimist märgati, et paneel ei esitle mitte üksnes Facebooki andmelekete andmeid, vaid sisaldab ka sarnast aruannet Amazoni kohta. Seetõttu arvatakse, et peatselt võib Stresspaint pahavara rünnata Amazoni kasutajaid. 

Trooja tegevuse tehnilisem pool

Stresspaint on näide professionaalselt välja töötatud andmevarastajast. Vähem kui nelja päeva jooksul suutis see rünnata enam kui 45 000 seadet ning varastada kümneid tuhandeid Facebooki sisselogimisandmeid. Need numbrid on märkimisväärsed, kas pole? 

Peamine põhjus, miks häkkerid olid nii edukalt, on ilmselt selle viiruse täpne ettevalmistus enne selle liikvelelaskmist. Pahavara levitajad rakendavad erinevaid filtreid, et rünnata inimesi, kelle Facebooki kontode paroolid on salvestatud või kelle Amazoni maksefunktsioonid on aktiveeritud. 

Kui potentsiaalne ohver vastab nõudmistele, käivitub pahavara, mis käivitab erinevad skriptid ja paigaldab pahavaralise registrivõtme, mis aitab viirusel süsteemis püsida ilma, et seda märgataks ning seega saab see rahumeeli varastada isikuandmeid. 

  • Temp\\\\DX.exe
  • Temp\\\\updata.dll
  • Desktop\\RelieveStressPaint.lnk
  • HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Updata
  • HKCU\\Software\\Classes\\VirtualStore\\MACHINE\\SOFTWARE\\RelieveStressPaint\\guid

Need on vaid mõned näited muudatustest, mida Stresspaint pahavara algatab. Pärast edukat nakatumist on peaaegu võimatu tuvastada selle olemasolu süsteemis, kuna see ei mõjuta seadme jõudlust negatiivselt. 

Viiruse leiab üles üksnes siis, kui skänneerida seadet professionaalse pahavaratõrjega. Põhjalik süsteemiskänneering peaks välja tooma kirjed nagu Stresspaint.Trojan või Stresspaint.Inforstealer, mis tuleks koheselt eemaldada.

Viirus avaldab Facebooki andmeid iga kord, kui Relieve Stress Paint äpp aktiveeritakse

Relieve Stress Paint võib näha välja legitiimne ja kasulik. Kuigi see on lihtne värvimistööriist, võib see teha palju rohkem kahju kui kasu. Pärast installeerimist laaditakse see alla üheskoos troojaga. Seejärel loob pahavara töölauale Desktop\\RelieveStressPaint.lnk kirje, mis on sisuliselt rakenduse avamise kiirtee. 

Kahjuks aga iga kord, kui klõpsata kiirteel ja avada rakendus, käivitab see jälgimistarkvara, mis hakkab koguma Facebooki logimisandmeid, sealhulgas kasutajanimi ja parool. Kui trooja saab edukalt andmed kätte, võib see ühendada end kontoga ja varastada muid andmeid nagu näiteks Facebooki sõprade hulk, makseviiside seadistus, konto aktiivsus jne. 

Facebooki konto võib olla häkitud

Seni ei ole pahavara uurijad näinud olukordi, kus Relieve Stress Paint pahavara oleks Facebooki konto häkkinud. Usutakse aga, et viirus on endiselt varajases arenguetapis või varases andmekogumise faasis. 

Arvatakse, et kogutud andmeid võidakse kasutada väljapressimiseks, luuramiseks, pahavaraliseks reklaamitegevuseks, äritegevuseks ja muudeks taolisteks eesmärkideks. Nende hulgas võib olla ka Facebooki konto häkkimine. Seetõttu on oluline kasutada professionaalset viirusetõrjet ja muid turvaprogramme. Samuti ole ettevaatlik alati, kui tegutsed internetis. 

Autori kohta

Alice Woods
Alice Woods

Õpetab kasutajaid meeleldi end viiruste eest kaitsma...

Võta ühendust autoriga Alice Woods
Ettevõtte Esolutions kohta lähemalt

Loe teistes keeltes