Computer sikkerhed eksperter rapporteret opdagelsen af en ny malware trussel kaldet JENX botnet som bruger meget usædvanlige fordeling taktik. I stedet for at stole på standard e-mail-beskeder misbruger den et af de mest populære videospil - Grand Theft Auto såvel som IoT-enheder.
JenX Botnet Discovery and Infiltration Taktics
En ny verdensomspændende botnet-infektion er blevet rapporteret af sikkerhedssamfundet. Den nye trussel kaldes JenX botnet og har en meget usædvanlig infiltrationsmekanisme. Ifølge kodeanalysen udnytter flere sårbarheder, der påvirker visse populære routermodeller lavet af Huawei og Realtek. De er blandt de største producenter af netværksudstyr, og sådanne modeller købes normalt af internetudbydere (internetudbydere) og givet ud til kunderne. Dette betyder, at potentielt tusinder eller endda millioner af computere kan blive ofre for den automatiserede penetrationstest. De to sårbarheder spores i følgende sikkerhedsråd:
- CVE-2014-8361 — Miniigd SOAP-tjenesten i Realtek SDK giver fjernangribere mulighed for at udføre vilkårlig kode via en udformet NewInternalClient-anmodning.
- CVE-2017-17.215 — Huawei HG532 CVE-2017-17215 sårbarhed over fjernudførelse af kode.
Det er interessant at bemærke, at begge svagheder er taget fra Satori botnet. Uddragene blev identificeret i offentlige indlæg lavet af hackeren kendt under aliaset “Janit0r” hvem er forfatteren til BrickerBot. Ifølge undersøgelsen er botnettet designet specifikt mod spiludbydere, klubber og spillere.
Malwarekoden infiltrerer servere, der starter spil og som følge heraf også inficerer klientmaskinerne. Linket til Grand Theft Auto-spillet skyldes det faktum, at kompromitterede servere, der hoster JenX-botnettet, er vært for spillet. Sådanne taktikker er særligt effektive mod mål, da spilservere er kendt for deres ydeevne og netværksforbindelse.
Dette er en opfølgende opgradering fra base botnets som Mirai. Deres indtrængen strategi var at stole på standard legitimationsoplysninger, som undersøges for adgang. Når malwaren har kompromitteret målenheden, kan den ændre kontooplysningerne og nægte ejerne adgang. Andengenerations botnets som Satori afhænger af firmwaresårbarheder og som et resultat er de meget mere effektive mod potentielle mål. De fleste IoT-enheder modtager aldrig kritiske sikkerhedsopdateringer, enten på grund af manglende softwaresupport eller ejerens uagtsomhed. Udbytninger kan nemt udløses ved hjælp af automatiserede platforme, hvilket gør det nemt selv for begyndere brugere at bruge det i deres angrebsskemaer.
JenX Botnet og Gaming Server Connection
En af de foreslåede grunde til, at malwaren er rettet mod spilservere, er det faktum, at de ofte lejes til hele grupper eller bruges i turneringer. Når først malwarekoden har inficeret serveren selv, kan den bruges til at sprede virus til de tilsluttede klienter gennem selve videospillene. Normalt integrerer de chatmuligheder i sig selv, som kan misbruges.
Ved at bruge social engineering taktik kan de kriminelle vælge at levere yderligere malware gennem links, der er postet i chatsoftwaren. De kan være forklædt som servicemeddelelser såsom links til nulstilling af adgangskode, meddelelser og etc.
I andre tilfælde kan ofrene omdirigeres til malware-websteder, som indeholder phishing-elementer. I stedet for at levere eksekverbare filer forsøger de kriminelle at forvirre brugerne til at indtaste deres kontooplysninger til bedragerwebsteder. De kriminelle tager normalt grafikken og tekstelementerne fra webtjenester og sociale netværk, som er blandt de mest besøgte websteder. I de senere år er denne type svindel blevet så avanceret, at det nogle gange er svært at skelne det falske fra den legitime tjeneste. De kriminelle påtvinger ikke kun næsten den samme visuelle identitet, men også underskrive sikkerhedscertifikaterne og etablere en sikker forbindelse med legitimationsoplysninger, der har en slående lighed med de faktiske rigtige.
JenX Botnet Infection Capabilities
Forskerne bemærker, at botnettet er særligt farligt, da det integrerer en avanceret stealth beskyttelse modul der har til formål at skjule truslen fra sikkerhedssoftware og analyse. Sådanne teknikker er også bundtet i avancerede ransomware-prøver, hvor infektionsmotoren ser ud for enhver sandkasse eller debugging-miljøer, virtuelle maskiner og anti-virus produkter. De kan enten deaktiveres eller fjernes. Vira kan også instrueres i at slette sig selv, hvis de ikke er i stand til at omgå sikkerhedsbeskyttelsen. Sådanne trin kan også integreres i JenX botnet via script-kommandoer. Hackerne blev fundet til at distribuere kopier af JenX kompatibel med MIPS, ARM og X86 som er de mest populære platforme.
Hackeroperatørerne søger at infiltrere både kommercielle og private servere. Det er interessant at bemærke, at den brede publikumsopbakning virker som en vigtig faktor at overveje. Det kriminelle samfund bag angrebene ser ud til at bruge en centraliseret server, der fungerer som den primære malware-platform. Eksperterne indlæser sårbarhederne sammen med andre brugerdefinerede scripts for at udføre opfølgningsstadierne af infektioner.
De infiltrerede websteder tilbyder adgang til en Grand Theft Auto San Andreas modderede servere til prisen af $16, TeamSpeak servere sælges for $9. Hvis hackerne betaler $20 mere kan de bruge de kompromitterede servere til kontrollerede DDOS-angreb mod enkelte mål. Rapporterne tyder på, at spidsbelastningsnettet grundigt kan være 290 eller 300 Gbps. I øjeblikket er påvirkningen forårsaget af JenX botnet relateret til en mindre forstyrrelse blandt lokale spillere. Den kan bruges til at sabotere Grand Theft Auto-turneringer og gruppespil.
Eksperterne bemærker, at hvis de centraliserede servere kan tages ned, kan hele platformen fejle. Det formodes, at truslen kan opdateres i fremtidige versioner til at udnytte en decentral tilgang. Nylige infektioner har vist sig at have en P2P-tilgang, som er sværere at afbøde.
Vi anbefaler, at alle brugere scanner deres systemer for aktive infektioner og beskytter sig selv mod indkommende trusler ved at bruge en kvalitets anti-spywareløsning.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter