Skip to main content

Sefnit click csalás a malware csepp Tor for SSH, Facebook kutatók szerint

A biztonsági kutatók a Facebook-ról egy új változatot azonosítottak a Sefnit kattintási csalás malware programban, amely az SSH parancsot és vezérlést használja a Tor névtelenségi hálózat helyett

A fenyegetés, amely Mevade néven is ismert, tavaly több millió számítógépet fertőzött meg, és hirtelen tülekedést okozott a Tor használatában.

A Sefnit olyan rosszindulatú programcsalád, amely a 2011-es évek óta a Microsoft Malware Protection Center kutatói szeptemberben készített elemzést.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

Augusztus közepén egy, a Mevade nevű Sefnit változat okozta a napi felhasználók számát th e Tor anonimitási hálózat 500 000-ről több mint 3 millióra emelkedett, mivel Tor-re rejtett szolgáltatást használt - egy weboldalt, amely csak a Tor hálózaton belül elérhető - parancs- és vezérlő szerverként.

A régi Sefnit változatoktól eltérően hogy az eltérített felhasználó a keresési eredményekre kattintott, a Mevade egy másik kattintási csalási technikát alkalmazott, amely a fertőzött számítógépek átláthatóvá tételét okozta a csalárd hirdetési forgalom forgalmának átirányításában.

Nem világos, hogy a Tor egy C & C csatornát dolgozott a Mevade szerzői számára, az anonimitási hálózat lassú lehet, különösen akkor, ha túlzsúfolt az ügyfelekkel. A szegényes teljesítmény magyarázatot adhat arra, hogy a Sefnit új, a kutatók által elemzett új verziója miért nem támaszkodik Torra.

Ezzel szemben az új változat a Plink (PuTTY link) parancssori hálózati kapcsolat eszközt használja az SSH (Secure Shell) protokollt, a Facebook Biztonsági Csapat azt mondta hétfőn egy olyan blogbejegyzésben, amely részleteket tartalmaz az új fenyegetésről.

A Plink használata azt is jelzi, hogy a Sefnit szerzői hajlamosak arra, hogy a legitim szoftvereket újratelepítsék céljukra. Ez a viselkedés korábban a Tor és a 3proxy, egy ingyenes proxy szerver programban volt megfigyelhető.

"Ez a post hivatkozik további fájlokra, tartományokra és melléktermékekre, beleértve az SSH funkcionalitását a channel.dll-ben. "Reméljük, hogy ezek a részletek és mutatók segítenek a biztonsági csoportoknak a Sefnit jeleit ellenőrizni eszközeiket."