Ακούτε τον όρο “Ιός” (virus) αντί για malware μετά από πολύ καιρό !! Ναι, ακούτε σωστά. Οι ερευνητές ανακάλυψαν ένα νέο κύμα κακόβουλης καμπάνιας που ονομάζεται “KBOT” που εισάγει κακόβουλο κώδικα στα εκτελέσιμα αρχεία των Windows.
Τον περιγράφουν ως ένα ζωντανό ιό που τα τελευταία χρόνια εξαπλώνεται σε ευρεία κλίμακα μέσω μολυσμένου εξωτερικού drive, του τοπικού network και του Internet για να αναπαράγει τον εαυτό του τροποποιώντας άλλα προγράμματα ηλεκτρονικών υπολογιστών χρησιμοποιώντας τον δικό του κώδικα.
Η επιτυχής “μόλυνση” θα επιβραδύνει το σύστημα μέσω της έγχυσης της διαδικασίας του συστήματος και θα πάρει τον πλήρη έλεγχο του συστήματος απομακρυσμένα, θα κλέψει προσωπικά δεδομένα τα οποία θα χρησιμοποιήσει για να κλέψει τα τραπεζικά δεδομένα των χρηστών.
Το KBOT επίσης μεταφορτώνει πρόσθετα modules με ικανότητες κλοπής για τη συλλογή κωδικών πρόσβασης / logins, δεδομένων cryptowallet, λιστών αρχείων και εγκατεστημένων εφαρμογών και την αποστολή σε servers C2.
Πώς μολύνει ο KBOT ιός
Η διαδικασία του infection από τον ιό KBOT αρχίζει επιθετικά με αναπαραγωγές σε ένα τοπικό δίκτυο και εξαπλώνεται γρήγορα σε άλλον υπολογιστή, μολύνοντας τα εκτελέσιμα αρχεία χωρίς καμία πιθανότητα ανάκτησης.
Το KBOT μολύνει άμεσα όλα τα αρχεία EXE, συμπεριλαμβανομένων των κατατμήσεων HDD, των εξωτερικών μέσων, των network drives και των network φακέλων, χρησιμοποιώντας τον κακόβουλο κώδικα.
Το KBOT προσθέτει τα κρυπτογραφημένα δεδομένα (χρησιμοποιώντας τη μέθοδο XOR) στο τέλος των παρακάτω αρχείων .rsrc, .data, .rdata και τα κρυπτογραφημένα δεδομένα περιέχουν το “σώμα” της κύριας μονάδας malware (βιβλιοθήκη δυναμικής σύνδεσης (DLL)), καθώς και κώδικα για την αποκρυπτογράφηση.
Επίσης, μπορεί να λειτουργήσει στο πλαίσιο των εφαρμογών του συστήματος και να προσπαθήσει να μολύνει τον κώδικα στην τρέχουσα διαδικασία.
Προσπάθεια hijacking DLL
Το KBOT malware κάνει μια προσπάθεια hijacking DLL, μολύνοντας τα δυαδικά αρχεία συστήματος όταν κάνει εκκίνηση το σύστημα.
Ο ιός αναζητά ειδικά εκτελέσιμα αρχεία EXE κατάλληλα για την επίθεση στον φάκελο του συστήματος C: \ Windows \\ System32. Στην συνέχεια κάνει αλλαγές στα δικαιώματα των αρχείων, στα ονόματα και στο είδος τους.
Για να αποκτήσουν απομακρυσμένη πρόσβαση στο σύστημα, οι hackers που βρίσκονται πίσω από το KBOT δημιουργούν αντίστροφες συνδέσεις με τους servers που βρίσκονται στην λίστα του αρχείου BC.ini.
Ο ιός έλαβε επίσης αρκετές εντολές από τον server C2 που διαχειρίζεται ο εισβολέας.
- DeleteFile – διέγραψε το συγκεκριμένο αρχείο.
- UpdateFile – update στο συγκεκριμένο αρχείο.
- UpdateInjects — update στο ini.
- UpdateHosts — update στοini.
- UpdateCore — update στην κύρια λειτουργική μονάδα bot και το αρχείο διαμόρφωσης kbot.ini.
- Uninstall — απεγκατάσταση του malware.
- UpdateWormConfig — update στο worm.ini που περιέχει πληροφορίες σχετικά με τη θέση των αρχείων EXE που πρόκειται να μολυνθούν.
Επίσης, ο ιός διαμορφώνει τις ρυθμίσεις του Remote Desktop Server για να δημιουργήσει πολλές ταυτόχρονες περιόδους σύνδεσης χρησιμοποιώντας το πρωτόκολλο RDP.
“Επιτρέπει στους χειριστές του να ελέγχουν το compromised σύστημα απομακρυσμένα, να κλέβουν προσωπικά δεδομένα και να κλέβουν τα τραπεζικά δεδομένα των χρηστών”, δήλωσε ο ερευνητής της Kaspersky.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/211934/neos-kbot-ios-kakovoulo-kodika-windows-archeia-data/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:28b373a8ec2792aefd5164c2f7961fd5/https://www.secnews.gr/windows-10-logo-100717399-large.jpg&description=Οι ερευνητές ανακάλυψαν ένα νέο κύμα κακόβουλης καμπάνιας που ονομάζεται "KBOT" που εισάγει κακόβουλο κώδικα στα εκτελέσιμα αρχεία){kind=link}