Badacze zgłaszają nowe złośliwe oprogramowanie, które jest przeznaczone do wysyłania haseł i innych danych wejściowych z zaatakowanego komputera do skrzynki odbiorczej osoby atakującej. Według ekspertów ds. bezpieczeństwa Cybereason złośliwe oprogramowanie jest dość proste, ale tym bardziej skuteczne.

Firma Cybereason zajmująca się bezpieczeństwem IT również nadała keyloggerowi nazwę „Fauxpersky”, nawiązując w ten sposób do rosyjskiego producenta oprogramowania antywirusowego Kaspersky. Keylogger składa się z popularnej aplikacji AutoHotKey, której użytkownicy mogą używać do pisania małych skryptów automatyzujących codzienne zadania. W tym przypadku program został wykorzystany do napisania keyloggera i infekowania komputerów z systemem Windows, a także do dalszego rozprzestrzeniania się na dyskach twardych zainfekowanego komputera.

„To złośliwe oprogramowanie w żaden sposób nie jest szczególnie zaawansowane ani nawet ukryte” — przyznają Amit Serper i Chris Black, którzy analizują złośliwe oprogramowanie na szczegółowym blogu. Niemniej jednak to złośliwe oprogramowanie jest bardzo skuteczne w infekowaniu dysków USB oraz w wydobywaniu danych z keyloggera i wysyłaniu ich do skrzynki odbiorczej atakującego za pośrednictwem Google. Jak tylko złośliwe oprogramowanie zostanie całkowicie wywołane, wszystkie wpisy dokonane na komputerze są rejestrowane i zapisywane w pliku tekstowym. Oprócz danych wejściowych złośliwe oprogramowanie zapisuje również metadane, takie jak nazwa okna, w którym użytkownik aktualnie pracuje, aby umożliwić atakującemu lepsze zrozumienie kontekstu danych wejściowych użytkownika.

Badanie udostępniania plików w firmach: współpraca w bezpiecznym i skalowalnym środowisku

Te informacje kontekstowe są odfiltrowywane z komputera za pośrednictwem Formularza Google. Plik jest następnie usuwany z pamięci komputera. Każda odpowiedź trafia bezpośrednio do skrzynki odbiorczej autora szkodliwego oprogramowania.

Od tego czasu Google usunęło złośliwą formę. Jednak obecnie nie ma komentarza od Google na temat tego, który użytkownik utworzył ten formularz. Mówi się, że autor nie miał wielkich ambicji, by zamaskować własne złośliwe oprogramowanie jako legalny program.

Jednak autor przynajmniej próbował stworzyć ekran powitalny Kaspersky. Stąd nazwa Fauxpersky. Złośliwe oprogramowanie jest wywoływane ponownie po uruchomieniu za pomocą skrótu w menu startowym Katalogu startowego systemu Windows. Cybereason nie dostarcza jeszcze żadnych informacji o tym, jak rozpowszechnione jest złośliwe oprogramowanie.

Wskazówka: Czy znasz największe wpadki technologiczne w historii IT? Sprawdź swoją wiedzę - z 14 pytaniami na silicon.de.

Raport: Stan transformacji cyfrowej EMEA 2019