Hoe te controleren of u de Pinkslipbot-malware gebruikt
Zo nu en dan verschijnt een nieuwe malwarevariant als een snelle herinnering dat de veiligheidstaken altijd stijgen. De QakBot / Pinkslipbot banking Trojan is daar een van. De malware, niet tevreden met het oogsten van bankreferenties, kan nu blijven hangen en fungeren als een controleserver - lang nadat een beveiligingsproduct zijn oorspronkelijke doel stopt.
Hoe blijft OakBot / Pinkslipbot actief? En hoe kunt u het volledig van uw systeem verwijderen??
QakBot / Pinkslipbot
Deze bank Trojan gaat door twee namen: QakBot en Pinkslipbot. De malware zelf is niet nieuw. Het werd voor het eerst ingezet in de late jaren 2000, maar veroorzaakt nog steeds problemen meer dan een decennium later. Nu heeft het Trojaanse paard een update ontvangen die schadelijke activiteit verlengt, zelfs als een beveiligingsproduct zijn oorspronkelijke doel heeft ingeperkt.
De infectie maakt gebruik van universele plug-and-play (UPnP) om poorten te openen en inkomende verbindingen van iedereen op internet toe te staan. Pinkslipbot wordt vervolgens gebruikt voor het oogsten van bankreferenties. De gebruikelijke reeks schadelijke tools: keyloggers, wachtwoorddieven, MITM-browseraanvallen, digitale certificaatdiefstal, FTP- en POP3-inloggegevens en meer. De malware beheert een botnet dat naar schatting meer dan 500.000 computers bevat. (Wat is een botnet eigenlijk? Is uw pc een zombie en wat is een zombiecomputer? [MakeUseOf legt uit] Is uw pc een zombie? En wat is een zombiecomputer eigenlijk? [MakeUseOf Explains] Hebt u zich ooit afgevraagd waar alles zit? van het internet komt spam? U ontvangt waarschijnlijk elke dag honderden spam-gefilterde ongewenste e-mails, betekent dit dat er honderden en duizenden mensen zijn die daar zitten ... Lees meer)
De malware richt zich voornamelijk op de Amerikaanse banksector, waarbij 89 procent van de geïnfecteerde apparaten wordt aangetroffen in treasury-, bedrijfs- of commerciële bankfaciliteiten.
Een nieuwe variant
Onderzoekers van McAfee Labs ontdekten de nieuwe variant Pinkslipbot.
“Omdat UPnP ervan uitgaat dat lokale applicaties en apparaten betrouwbaar zijn, biedt het geen beveiligingsmaatregelen en is het vatbaar voor misbruik door een geïnfecteerde machine op het netwerk. We hebben meerdere Pinkslipbot-controleserversproxy's waargenomen die op afzonderlijke computers op hetzelfde thuisnetwerk worden gehost, evenals wat een openbare Wi-Fi-hotspot lijkt te zijn,” zegt McAfee Anti-Malware Onderzoeker Sanchit Karve. “Voor zover wij weten, is Pinkslipbot de eerste malware die geïnfecteerde machines gebruikt als HTTPS-gebaseerde beheerservers en de tweede op malware gebaseerde versie om UPnP te gebruiken voor port forwarding na de beruchte Conficker-worm in 2008.”
Daarom proberen het McAfee-onderzoeksteam (en anderen) vast te stellen hoe een geïnfecteerde machine een proxy wordt. Onderzoekers geloven dat drie factoren een belangrijke rol spelen:
- Een IP-adres in Noord-Amerika.
- Een snelle internetverbinding.
- De mogelijkheid om poorten op een internetgateway te openen met behulp van UPnP.
De malware downloadt bijvoorbeeld een afbeelding met Comcast'sSpeed Test-service om te controleren of er voldoende bandbreedte beschikbaar is.
Zodra Pinkslipbot een geschikte doelcomputer vindt, geeft de malware een Simple Service Discovery Protocol-pakket uit om te zoeken naar internetgateway-apparaten (IGD). Op zijn beurt wordt de IGD gecontroleerd op connectiviteit, met een positief resultaat gezien het creëren van regels voor poortdoorschakeling.
Als gevolg hiervan, zodra de malware-auteur besluit of een machine geschikt is voor infectie, wordt een binaire binary gedownload en geïmplementeerd. Dit is verantwoordelijk voor de proxy-communicatie van de controleserver.
Moeilijk te vernietigen
Zelfs als uw anti-virus of anti-malware suite met succes QakBot / Pinkslipbot heeft gedetecteerd en verwijderd, bestaat de kans dat het nog steeds als een besturingsserver-proxy voor de malware fungeert. Je computer is misschien nog steeds kwetsbaar, zonder dat je het je realiseert.
“De regels voor het doorsturen van poorten die door Pinkslipbot zijn gemaakt, zijn te algemeen om automatisch te worden verwijderd zonder dat dit tot onvoorziene netwerkconfiguraties leidt. En aangezien de meeste malware niet interfereren met port-forwarding, zullen anti-malware-oplossingen dergelijke wijzigingen mogelijk niet ongedaan maken,” zegt Karve. “Helaas betekent dit dat uw computer mogelijk nog steeds kwetsbaar is voor aanvallen van buitenaf, zelfs als uw antimalwareproduct alle Pinkslipbot-binaire bestanden met succes van uw systeem heeft verwijderd.”
De malware bevat worm-capabilites Virussen, Spyware, Malware, enz. Explained: Understanding Online Threats Virussen, Spyware, Malware, enz. Explained: Inzicht in online dreigingen Wanneer u begint na te denken over alle dingen die mis kunnen gaan bij het surfen op internet, het web begint op een behoorlijk angstaanjagende plaats te lijken. Meer lezen, wat inhoudt dat het zichzelf kan repliceren via gedeelde netwerkstations en andere verwijderbare media. Volgens onderzoekers van IBM X-Force heeft dit geleid tot blokkering van Active Directory (AD), waardoor medewerkers van getroffen bankorganisaties urenlang offline moeten zijn.
Een verkorte handleiding
McAfee heeft de Pinkslipbot Control Server Proxy Detection en Port-Forwarding Removal Tool (of PCSPDPFRT, kortom ... ik maak een grapje). De tool kan hier worden gedownload. Verder is hier een korte gebruikershandleiding beschikbaar [PDF].
Nadat u het hulpprogramma hebt gedownload, klikt u met de rechtermuisknop en Als administrator uitvoeren.
De tool scant automatisch uw systeem in “detecteer modus.” Als er geen schadelijke activiteit is, wordt het hulpprogramma automatisch gesloten zonder wijzigingen aan te brengen in de configuratie van uw systeem of router.
Als het hulpprogramma echter een schadelijk element detecteert, kunt u eenvoudig het / del opdracht om de regels voor het doorsturen van poorten uit te schakelen en te verwijderen.
Detectie vermijden
Het is enigszins verrassend om een bank Trojan van deze verfijning te zien.
Afgezien van de eerder genoemde Conficker-worm “informatie over kwaadwillig gebruik van UPnP door malware is schaars.” Meer pertinent is het een duidelijk signaal dat IoT-apparaten die gebruikmaken van UPnP een enorm doelwit (en kwetsbaarheid) zijn. Omdat IoT-apparaten alomtegenwoordig zijn, moet je toegeven dat cybercriminelen een gouden kans hebben. (Zelfs uw koelkast loopt gevaar! De slimme koelkast van Samsung is net op de voorgrond gebracht.) De slimme koelkast van Samsung is er nog maar net over De rest van uw Smart Home? Een kwetsbaarheid met de slimme koelkast van Samsung werd ontdekt door het VK op basis van de Pen Test Parters van het Infosec-bedrijf Samsung's implementatie van SSL-codering controleert niet de geldigheid van de certificaten Lees meer)
Maar terwijl Pinkslipbot overgaat in een moeilijk te verwijderen malwarevariant, staat deze nog steeds slechts op de tiende plaats in de meest voorkomende financiële malwaretypes. De bovenste plek is nog steeds in handen van klant Maximus.
Beperking blijft de sleutel tot het vermijden van financiële malware, of dat nu een bedrijf, een onderneming of een thuisgebruiker is. Basisonderwijs tegen phishing Hoe een phishing-e-mail te spotten Hoe een phishing-e-mail te spotten Een phishing-e-mail pakken is moeilijk! Oplichters poseren als PayPal of Amazon, in een poging om uw wachtwoord en creditcardinformatie te stelen, is hun misleiding bijna perfect. We laten u zien hoe u de fraude kunt herkennen. Meer lezen en andere vormen van gerichte kwaadwillende activiteit Hoe oplichters phishing-e-mails gebruiken om studenten te targeten Hoe oplichters phishing-e-mails gebruiken om studenten te targeten Het aantal oplichting gericht op studenten neemt toe en velen vallen in deze valkuilen. Dit is wat u moet weten en wat u moet doen om ze te vermijden. Meer lezen is een geweldige manier om te voorkomen dat dit soort infecties bij een organisatie binnenkomt - of zelfs bij u thuis.
Beïnvloed door Pinkslipbot? Was het thuis of in jouw organisatie? Ben je buitengesloten van je systeem? Laat ons hieronder uw ervaringen weten!
Image Credit: akocharm via Shutterstock
Meer informatie over: Malware, Trojan Horse.