Σύμφωνα με μια ομιλία ερευνητών στο συνέδριο VirusBulletin 2020, ένα adware με το όνομα Linkury, διανέμει κακόβουλο λογισμικό και μολύνει τις συσκευές των θυμάτων. Το συγκεκριμένο adware ήταν προηγουμένως γνωστό κυρίως για τη διανομή browser hijackers.
“Αυτό που είναι επικίνδυνο με το Linkury είναι το πώς χρησιμοποιεί την adware λειτουργία του ως πύλη για τη διάδοση κακόβουλου λογισμικού“, δήλωσαν οι Arun Kumar Shunmuga Sundaram και Rajeshkumar Ravichandran, δύο αναλυτές malware της ινδικής εταιρείας ασφάλειας K7 Computing.
Σύμφωνα με τους ερευνητές, το Linkury συνδυάζει το τυπικό adware με άλλα malware και χρησιμοποιεί πότε τη μια και πότε την άλλη λειτουργία, με βάση γεωγραφικά κριτήρια (ανάλογα με τη χώρα του θύματος).
Οι δύο ερευνητές ασφαλείας λένε ότι το Linkury έχει προσαρμόσει τις λειτουργίες του, ώστε να αποκρύπτει τις κακόβουλες τεχνικές του και να φαίνεται σαν ένα “νόμιμο adware”.
Οι περισσότερες εταιρείες, όπως οι Malwarebytes, Microsoft και Trend Micro, αναγνωρίζουν το Linkury ως “adware”. Ωστόσο, οι Sundaram και Ravichandran υποστηρίζουν ότι “θα έπρεπε να επισημανθεί και ως malware, με βάση τα στοιχεία που παρουσιάζονται στην έκθεσή τους”.
Στοιχεία για το Linkury
Πριν από την ομιλία των ερευνητών στο VirusBulletin, το Linkury ήταν κυρίως γνωστό ως adware.
Συνήθως, διανέμεται μέσω του SafeFinder widget, μιας browser επέκτασης που υποτίθεται χρησιμοποιείται για την εκτέλεση ασφαλών αναζητήσεων στο διαδίκτυο.
Το widget συνήθως συνδυάζεται με άλλες δωρεάν εφαρμογές, ως δευτερεύον πρόγραμμα εγκατάστασης ή διανέμεται μέσω διαδικτυακών διαφημίσεων που ανακατευθύνουν τους χρήστες σε σελίδες λήψης του SafeFinder.
Αν ένας χρήστης εγκαταστήσει την επέκταση SafeFinder, οι προεπιλεγμένες ρυθμίσεις αναζήτησης του browser του και η αρχική καρτέλα θα αλλάξουν. Ωστόσο, δεν είναι μόνο αυτή η αλλαγή. Η εγκατάσταση της επέκτασης συνοδεύεται από την εγκατάσταση πρόσθετων binaries, που διαφέρουν ανάλογα με τη χώρα του χρήστη.
Όμως, οι ερευνητές της K7 ανακάλυψαν πρόσφατα ότι το SafeFinder widget έχει πλέον ξεκινήσει να εγκαθιστά κακόβουλα λογισμικά, όπως το Socelars και το Kpot infostealer trojan.
Σε άλλες περιπτώσεις, το Linkury εγκαθιστούσε μια έκδοση του Opera browser σε μολυσμένους υπολογιστές, ο οποίος λειτουργούσε “σιωπηλά” στο παρασκήνιο του λειτουργικού συστήματος για την προβολή pop-up διαφημίσεων, φέρνοντας κέρδη στους χειριστές του Linkury adware/malware.
Επιπλέον, οι hackers πίσω από το Linkury, χρησιμοποίησαν το SafeFinder widget για την εγκατάσταση άλλων επεκτάσεων στα προγράμματα περιήγησης του χρήστη. Η K7 ανέφερε ότι εντόπισε τέτοιες εγκαταστάσεις στον Chrome και στον Firefox browser, για χρήστες Windows και σε Safari, Chrome και Firefox, για χρήστες Mac.
Τα προβλήματα, όμως, δεν τελειώνουν εδώ. Οι ερευνητές είπαν, ακόμα, ότι το SafeFinder installer περιείχε πολλές δυνατότητες malware, όπως PowerShell scripts για την απενεργοποίηση του Windows Defender και λειτουργίες που του επέτρεπαν να καταλάβει πότε το installer εκτελούνταν σε εικονικές μηχανές και sandboxes.
Τέλος, σύμφωνα με το ZDNet, το SafeFinder widget του Linkury δεν υπακούει τις επιλογές των χρηστών, αφού το installer του έχει σχεδιαστεί για να εγκαταστήσει το payload του, ακόμη και αν ο χρήστης προσπαθήσει να αποφύγει τη διαδικασία εγκατάστασης, πατώντας “Όχι” στο μήνυμα που του εμφανίζεται σχετικά με την εγκατάσταση του SafeFinder.