Trojany

Trojan:Slocker oszustwo typu pop-up to forma oszustwa związanego z pomocą techniczną, którą można spotkać na różnych zwodniczych stronach internetowych. Oszustwo to polega na wyświetlaniu użytkownikom alarmujących wiadomości, fałszywie twierdzących, że ich urządzenia zostały zainfekowane trojanem lub oprogramowaniem ransomware. Ostatecznym celem tych fałszywych alertów jest zmanipulowanie użytkowników w celu podjęcia działań, które mogą zagrozić ich bezpieczeństwu, prywatności i kondycji finansowej. Po skontaktowaniu się z fałszywym numerem pomocy technicznej poszczególne osoby są łączone z oszustami podającymi się za przedstawicieli pomocy technicznej. Oszuści stosują różne taktyki socjotechniki, aby oszukać ofiary w celu udzielenia zdalnego dostępu do swoich urządzeń, ujawnienia poufnych informacji lub dokonania nieuzasadnionych płatności. Oszuści mogą zażądać instalacji legalnego oprogramowania do zdalnego dostępu (np. AnyDesk, TeamViewer), aby przejąć kontrolę nad urządzeniem ofiary. Trojan:Slocker pop-up scam to wyrafinowane oszustwo, które wykorzystuje obawy użytkowników przed infekcjami złośliwym oprogramowaniem. Rozumiejąc, jak działa to oszustwo, rozpoznając sygnały ostrzegawcze i postępując zgodnie z najlepszymi praktykami dotyczącymi bezpieczeństwa w Internecie, użytkownicy mogą lepiej chronić się przed staniem się ofiarą takich zwodniczych taktyk.

VCURMS RAT (Trojan zdalnego dostępu) to rodzaj złośliwego oprogramowania, który ostatnio zwrócił na siebie uwagę ze względu na swój unikalny sposób działania i wyrafinowane mechanizmy dostarczania. RAT to kategoria złośliwego oprogramowania zaprojektowana w celu zapewnienia osobie atakującej zdalnej kontroli nad zainfekowanym komputerem. W szczególności VCURMS to oparty na Javie RAT, który zaobserwowano w kampaniach phishingowych, których celem są użytkownicy, nakłaniający ich do pobrania złośliwych programów do pobierania opartych na Javie. VCURMS RAT to stosunkowo nowa pozycja w krajobrazie cyberzagrożeń, podobna do innego opartego na Javie narzędzia do kradzieży informacji o kryptonimie Rude Stealer, który pojawił się na wolności pod koniec poprzedniego roku. Został wykryty wraz z bardziej uznanym złośliwym oprogramowaniem STRRAT, które jest aktywne co najmniej od 2020 r. Kampania z udziałem VCURMS została odnotowana dzięki korzystaniu z usług publicznych, takich jak Amazon Web Services (AWS) i GitHub do przechowywania złośliwego oprogramowania, a także zatrudnienie komercyjnego obrońcy, aby uniknąć wykrycia. Usunięcie RAT-a takiego jak VCURMS z zainfekowanego systemu może być trudne ze względu na jego zdolność do ukrywania swojej obecności. Zaleca się korzystanie ze sprawdzonego oprogramowania antywirusowego, które potrafi wykryć i usunąć RAT. Należy przeprowadzić pełne skanowanie systemu, a wszelkie zidentyfikowane zagrożenia poddać kwarantannie i usunąć.

WINELOADER to modułowe szkodliwe oprogramowanie typu backdoor, które ostatnio zaobserwowano, że którego celem są urzędnicy europejscy, zwłaszcza ci mający powiązania z indyjskimi misjami dyplomatycznymi. Ten backdoor stanowi część wyrafinowanej kampanii cyberszpiegowskiej o nazwie SPIKEDWINE, która charakteryzuje się małą liczbą ataków oraz zaawansowanymi taktykami, technikami i procedurami (TTP). W kampanii wykorzystuje się inżynierię społeczną, wykorzystując fałszywe zaproszenie na degustację wina, aby zwabić ofiary do zainicjowania łańcucha infekcji złośliwym oprogramowaniem. WINELOADER to wcześniej nieudokumentowany backdoor o konstrukcji modułowej, co oznacza, że ​​ma oddzielne komponenty, które można niezależnie uruchamiać i aktualizować. Backdoor może wykonywać polecenia z serwera dowodzenia i kontroli (C2), wstrzykiwać się do innych bibliotek dołączanych dynamicznie (DLL) i aktualizować odstęp uśpienia między żądaniami sygnału nawigacyjnego kierowanymi do serwera C2. Szkodnik wykorzystuje wyrafinowane techniki obchodzenia, takie jak szyfrowanie swojego modułu podstawowego i kolejnych modułów pobranych z serwera C2, dynamiczne ponowne szyfrowanie ciągów znaków i wykorzystywanie buforów pamięci do przechowywania wyników wywołań API. Po użyciu zastępuje także odszyfrowane ciągi zerami, aby uniknąć wykrycia przez narzędzia do analizy pamięci.

StrelaStealer to rodzaj złośliwego oprogramowania kradnącego, którego celem jest w szczególności dane logowania do konta e-mail. Został on po raz pierwszy odkryty przez badaczy w listopadzie 2022 r. i zaobserwowano, że jest rozpowszechniany za pomocą wiadomości spamowych skierowanych do użytkowników hiszpańskojęzycznych. Celem szkodliwego oprogramowania jest wyodrębnianie danych logowania do konta e-mail z popularnych klientów poczty e-mail, takich jak Microsoft Outlook i Mozilla Thunderbird. Po załadowaniu szkodliwego oprogramowania do pamięci otwierana jest domyślna przeglądarka, która wyświetla przynętę, dzięki czemu atak staje się mniej podejrzany. Szczegóły StrelaStealer Po uruchomieniu StrelaStealer przeszukuje katalog „%APPDATA%\Thunderbird\Profiles” w poszukiwaniu plików „logins.json” (konto i hasło) oraz „key4.db” (baza danych haseł) i eksfiltruje ich zawartość na serwer C2. W przypadku programu Outlook StrelaStealer odczytuje rejestr systemu Windows w celu pobrania klucza oprogramowania, a następnie lokalizuje wartości „Użytkownik IMAP”, „Serwer IMAP” i „Hasło IMAP”. Hasło IMAP zawiera hasło użytkownika w postaci zaszyfrowanej, więc złośliwe oprogramowanie wykorzystuje funkcję Windows CryptUnprotectData do odszyfrowania go, zanim zostanie wydobyte do C2 wraz z danymi serwera i użytkownika. Bardzo ważne jest, aby postępować zgodnie z instrukcjami usuwania we właściwej kolejności i używać legalnych i zaktualizowanych narzędzi chroniących przed złośliwym oprogramowaniem, aby zapewnić całkowite wyeliminowanie złośliwego oprogramowania. Po usunięciu złośliwego oprogramowania konieczna jest również natychmiastowa zmiana wszystkich haseł, ponieważ skradzione dane uwierzytelniające mogły zostać naruszone.

Wirus Apex Legends to zagrożenie cyberbezpieczeństwa, którego celem są fani popularnej gry typu Battle Royale, Apex Legends. Zagrożenie to jest szczególnie podstępne, ponieważ podszywa się pod oszustwa lub ulepszenia gry i wykorzystuje entuzjazm graczy chcących zyskać przewagę w rozgrywce. Jednak zamiast zapewnić jakiekolwiek rzeczywiste korzyści, infekuje komputery użytkowników złośliwym oprogramowaniem, co prowadzi do potencjalnej kradzieży danych i innych złośliwych działań. Usunięcie wirusa Apex Legends wymaga dokładnego podejścia, aby mieć pewność, że wszystkie składniki złośliwego oprogramowania zostaną usunięte z systemu. Korzystanie z renomowanego oprogramowania antywirusowego lub antyszpiegującego w celu przeprowadzenia pełnego skanowania systemu może pomóc w wykryciu i usunięciu RAT oraz wszelkich innych powiązanych komponentów złośliwego oprogramowania. W przypadku użytkowników posiadających wiedzę informatyczną usuwanie ręczne może obejmować identyfikację i usuwanie złośliwych plików i wpisów rejestru, ale takie podejście może być ryzykowne i nie jest zalecane dla niedoświadczonych użytkowników. W niektórych przypadkach przywrócenie komputera do poprzedniego stanu sprzed infekcji może pomóc w usunięciu złośliwego oprogramowania, chociaż ta metoda może nie zawsze być skuteczna, jeśli wirus osadził się głęboko w systemie. W ostateczności całkowita ponowna instalacja systemu operacyjnego usunie wszelkie obecne złośliwe oprogramowanie, ale spowoduje to również usunięcie wszystkich danych z komputera, dlatego należy to rozważyć tylko wtedy, gdy zawiodą wszystkie inne metody usuwania.

JS/Agent Trojan odnosi się do dużej rodziny trojanów napisanych w JavaScript, popularnym języku skryptowym powszechnie używanym do tworzenia dynamicznych stron internetowych. Celem tych złośliwych skryptów jest wykonywanie różnorodnych nieautoryzowanych działań na komputerze ofiary, począwszy od kradzieży danych po pobieranie i uruchamianie innego złośliwego oprogramowania. Ze względu na powszechne wykorzystanie JavaScript w tworzeniu stron internetowych, trojany JS/Agent mogą łatwo mieszać się z legalną treścią internetową, przez co są szczególnie trudne do wykrycia i usunięcia. Trojan JS/Agent to szeroka klasyfikacja rodziny złośliwych plików JavaScript, które stanowią poważne zagrożenie dla systemów komputerowych. Trojany te słyną ze swojej wszechstronności w dostarczaniu ładunków, kradzieży danych i umożliwianiu nieautoryzowanego dostępu do zainfekowanych systemów. Zrozumienie natury trojana JS/Agent, jego mechanizmów infekcji i skutecznych strategii usuwania ma kluczowe znaczenie dla utrzymania cyberbezpieczeństwa. Usunięcie trojana JS/Agent z zainfekowanego systemu wymaga kompleksowego podejścia, ponieważ trojany te mogą pobierać dodatkowe złośliwe oprogramowanie i modyfikować ustawienia systemu, aby uniknąć wykrycia.

Glorysprout Stealer to rodzaj złośliwego oprogramowania, w szczególności złodzieja, którego celem jest szeroki zakres poufnych informacji, w tym portfele kryptowalut, dane logowania, numery kart kredytowych i inne. Napisany w C++, opiera się na wycofanym już złodzieju Taurus, z podejrzeniami, że kod źródłowy Taurusa został sprzedany, co doprowadziło do rozwoju Glorysprout. Pomimo materiałów promocyjnych sugerujących różnorodne funkcjonalności, analitycy cyberbezpieczeństwa zauważyli pewne rozbieżności pomiędzy reklamowanymi i obserwowanymi możliwościami. Glorysprout jest kompatybilny z systemami operacyjnymi Windows w wersjach od 7 do 11 i obsługuje różne architektury systemów. Jest sprzedawany jako konfigurowalne oprogramowanie z rzekomymi możliwościami wykrywania maszyn wirtualnych, chociaż funkcja ta nie została potwierdzona przez analityków. Po udanej infiltracji Glorysprout zbiera obszerne dane o urządzeniu, w tym szczegóły dotyczące procesora, procesora graficznego, pamięci RAM, rozmiaru ekranu, nazwy urządzenia, nazwy użytkownika, adresu IP i geolokalizacji. Jego celem jest różnorodne oprogramowanie, w tym przeglądarki, portfele kryptowalutowe, uwierzytelniacze, VPN, FTP, oprogramowanie do przesyłania strumieniowego, komunikatory, klienci poczty e-mail i aplikacje związane z grami. Z przeglądarek może wyodrębnić historię przeglądania, zakładki, internetowe pliki cookie, automatyczne wypełnienia, hasła, numery kart kredytowych i inne wrażliwe dane. Dodatkowo może wykonywać zrzuty ekranu. Chociaż reklamuje możliwości przechwytywania (kradzieży plików) i rejestrowania naciśnięć klawiszy (nagrywania naciśnięć klawiszy), tych funkcji nie było w znanych wersjach Glorysprout.

Remcos RAT (Remote Control and Surveillance) to trojan zdalnego dostępu, który jest aktywnie wykorzystywany przez cyberprzestępców od jego pierwszego pojawienia się w 2016 r. Remcos, reklamowany przez jego twórcę, firmę Breaking Security, jako legalne narzędzie do zdalnej administracji, był powszechnie wykorzystywany do złośliwych celów. Umożliwia atakującym uzyskanie dostępu backdoorem do zainfekowanego systemu, umożliwiając im wykonywanie różnych działań bez wiedzy i zgody użytkownika. Remcos RAT to potężne i ukryte złośliwe oprogramowanie, które stwarza znaczne ryzyko dla zainfekowanych systemów. Jego zdolność do unikania wykrycia i utrzymywania trwałości sprawia, że ​​jest to ogromne zagrożenie. Jednakże, postępując zgodnie z najlepszymi praktykami w zakresie zapobiegania i stosując kompleksowe podejście do usuwania, organizacje i osoby fizyczne mogą ograniczyć ryzyko związane z Remcos i chronić swoje systemy przed kompromisami.