Cisco Talos Investigačný tím - Pozor na Zeus, ktorý odchytáva stlačené klávesy

Dominik Farkas

Marketing

dominik.farkas@alef.com

IOC je náznak, nie dôkaz.

Majte na pamäti, že vyhľadávanie IOC-Indicator of Compromise (Indikátor kompromitácie) je len jednou časťou z procesu pátrania po hrozbách. Zaznamenanie jedného IOC nemusí nevyhnutne znamenať infikáciu alebo prienik. Detekcia a pokrytie nasledujúcich hrozieb podlieha aktualizáciám, kým sa nevykoná dodatočná analýza hrozieb alebo zraniteľností. Najaktuálnejšie informácie nájdete v Centre riadenia Firepower, Snort.org alebo ClamAV.net.

Pre každú hrozbu opísanú nižšie je vytvorený zoznam pridružených súborov typu hash. Sprievodný súbor JSON, ktorý obsahuje úplný zoznam súborov hash ako aj všetky ostatné IOC z tohto príspevku. Nezabúdajte, že všetky IOC v tomto príspevku sú indikátory a jedno IOC neznamená hneď infikáciu alebo prienik.

Aktuálne zaregistrované hrozby:

  • Win.Malware.Vobfus-6919817-0

Vobfus je červ, ktorý sa kopíruje na externé disky a pokúša sa automaticky spustiť svoj kód prostredníctvom súborov autorun.inf. Tiež upravuje databázu registry tak, že sa spustí pri bootovaní/štartovaní systému. Po nainštalovaní sa pokúsi prevziať následný malware zo svojich centrálnych uzlov (C2).

  • Win.Malware.Barys-6919339-0

Barys je trójsky kôň a downloader infikovaných dát, ktorý umožňuje škodlivým klientom nahrať súbory do počítača obete.

  • Win.Malware.Zbot/ZEUS-6919277-0

Zbot, tiež známy ako Zeus, je trójsky kôň, ktorý pomocou rôznych metód a procesov na pozadí kradne informácie, ako napríklad bankové poverenia. Pracuje na základe zaznamenávania stlačených klávesov alebo kradnutí prednastavených foriem v prehliadači (prihlasovacie formuláre s menom a heslom).

  • Win.Malware.Autoit-6919193-0

Autoit je malware, ktorý využíva známy automatizačný nástroj AutoIT, ktorý je široko používaný správcami systému a administrátormi. AutoIT vystavuje bohatý skriptovací jazyk, ktorý umožňuje písať plne funkčný škodlivý softvér. Tento malware sa nainštaluje do systému a kontaktuje server C2 na získanie ďalších pokynov a príkazov.

  • Win.Virus.Expiro-6918982-0

Expiro je známy infikátor súborov a dát a takisto aj zlodej informácii, ktorý je ťažko odhaliteľný a odstrániteľný.

  • Win.Trojan.Winwebsec-6918829-0

Winwebsec je agresívny trójsky kôň, ktorý sa maskuje ako legitímny antivírusový softvér a upozorňuje používateľov na neexistujúce hrozby. Zakáže program Windows Defender a nástroj Obnovovanie systému Windows. Môže tiež blokovať používateľom prístup k webovým stránkam alebo programom, kým si nekúpia "antivírusový softvér".

  • Win.Trojan.Emotet-6918815-0

Emotet je dnes jednou z najrozšírenejších a najaktívnejších skupín malware. Je to vysoko modulárna hrozba, ktorá predstavuje možnú širokú škálu zaťažení. Emotet sa bežne dodáva prostredníctvom dokumentov balíka Microsoft Office s makrami, ktoré sa odosielajú ako prílohy na škodlivé e-maily.

Čo by vás ochránilo?

Prehľad Cisco nástrojov ktoré by vás ochránili pred útokmi.

SKÚSTE SI TRIAL ZADARMO

 CISCO UMBRELLA

*(SIG – Secure internet gateway), blokuje prístup užívateľov k doménam a IP adresám so škodlivým obsahom, bez ohľadu na to, či sa užívateľ nachádza vo firemnej sieti alebo mimo nej.