Come verificare se stai ospitando il malware Pinkslipbot
Ogni tanto una nuova variante di malware appare come un rapido promemoria sul fatto che le puntate di sicurezza sono sempre in aumento. Il trojan bancario QakBot / Pinkslipbot è uno di questi. Il malware, non contento di raccogliere le credenziali bancarie, può ora indugiare e agire come un server di controllo - molto tempo dopo che un prodotto di sicurezza interrompe il suo scopo originale.
In che modo OakBot / Pinkslipbot rimane attivo? E come puoi rimuoverlo completamente dal tuo sistema?
QakBot / Pinkslipbot
Questo trojan bancario ha due nomi: QakBot e Pinkslipbot. Il malware in sé non è nuovo. È stato distribuito per la prima volta alla fine degli anni 2000, ma causa ancora problemi oltre un decennio dopo. Ora, il Trojan ha ricevuto un aggiornamento che prolunga le attività dannose, anche se un prodotto di sicurezza riduce il suo scopo originale.
L'infezione utilizza un plug-and-play universale (UPnP) per aprire le porte e consentire le connessioni in entrata da chiunque su Internet. Pinkslipbot viene quindi utilizzato per raccogliere credenziali bancarie. La solita serie di strumenti dannosi: keylogger, ladri di password, attacchi al browser MITM, furto di certificati digitali, credenziali FTP e POP3 e altro ancora. Il malware controlla una rete bot stimata per contenere oltre 500.000 computer. (Che cos'è una botnet, comunque? Il tuo PC è uno Zombi? E che cosa è un computer Zombi, comunque? [MakeUseOf Explains] Il tuo PC è uno zombi? E cos'è un computer Zombi, comunque? [MakeUseOf Explains] Ti sei mai chiesto dove dello spam su Internet proviene? Probabilmente ricevi centinaia di email spazzatura filtrate ogni giorno. Ciò significa che ci sono centinaia e migliaia di persone là fuori, seduti ... Per saperne di più)
Il malware si concentra principalmente sul settore bancario degli Stati Uniti, con l'89% dei dispositivi infetti trovati in strutture di tesoreria, aziendali o bancarie commerciali.
Una nuova variante
I ricercatori di McAfee Labs hanno scoperto la nuova variante di Pinkslipbot.
“Poiché UPnP presuppone che le applicazioni e i dispositivi locali siano affidabili, non offre alcuna protezione di sicurezza ed è soggetto ad abusi da parte di qualsiasi macchina infetta sulla rete. Abbiamo osservato più proxy del server di controllo Pinkslipbot ospitati su computer separati sulla stessa rete domestica e su quello che sembra essere un hotspot Wi-Fi pubblico,” afferma il ricercatore di Anti-Malware di McAfee Sanchit Karve. “Per quanto ne sappiamo, Pinkslipbot è il primo malware ad utilizzare macchine infette come server di controllo basati su HTTPS e il secondo malware basato su eseguibili ad utilizzare UPnP per il port forwarding dopo il famigerato worm Conficker nel 2008.”
Di conseguenza, il team di ricerca di McAfee (e altri) sta tentando di stabilire esattamente come una macchina infetta diventa un proxy. I ricercatori ritengono che tre fattori svolgano un ruolo significativo:
- Un indirizzo IP situato in Nord America.
- Una connessione internet ad alta velocità.
- La possibilità di aprire le porte su un gateway Internet utilizzando UPnP.
Ad esempio, il malware scarica un'immagine utilizzando il servizio Comcast'sSpeed Test per verificare che la larghezza di banda disponibile sia sufficiente.
Una volta che Pinkslipbot trova una macchina target adatta, il malware invia un pacchetto Simple Service Discovery Protocol per cercare Internet Gateway Devices (IGD). A sua volta, l'IGD viene controllato per la connettività, con un risultato positivo che vede la creazione di regole di port forwarding.
Di conseguenza, una volta che l'autore del malware decide se una macchina è idonea all'infezione, un download e un download di un binario Trojan. Questo è responsabile per la comunicazione del proxy del server di controllo.
Difficile da cancellare
Anche se la tua suite anti-virus o anti-malware ha rilevato e rimosso con successo QakBot / Pinkslipbot, c'è la possibilità che funzioni ancora come proxy del server di controllo per il malware. Il tuo computer potrebbe essere ancora vulnerabile, senza che tu te ne accorga.
“Le regole di port forwarding create da Pinkslipbot sono troppo generiche per essere rimosse automaticamente senza rischiare errori di configurazione accidentali della rete. E poiché la maggior parte dei malware non interferisce con il port forwarding, le soluzioni anti-malware non possono annullare tali cambiamenti,” dice Karve. “Sfortunatamente, questo significa che il tuo computer potrebbe essere ancora vulnerabile ad attacchi esterni anche se il tuo prodotto antimalware ha rimosso con successo tutti i binari di Pinkslipbot dal tuo sistema.”
Il malware presenta worm-capabilites Virus, spyware, malware, ecc. Spiegato: Comprendere le minacce online Virus, spyware, malware, ecc. Spiegato: Comprendere le minacce online Quando inizi a pensare a tutte le cose che potrebbero andare storte quando navighi su Internet, il web inizia a sembrare un posto piuttosto spaventoso. Leggi altro, il che significa che può auto-replicarsi attraverso unità di rete condivise e altri supporti rimovibili. Secondo i ricercatori di IBM X-Force, ha causato blocchi di Active Directory (AD), costringendo i dipendenti delle organizzazioni bancarie interessate offline per ore alla volta.
Una breve guida per la rimozione
McAfee ha rilasciato il Strumento per la rimozione del proxy e del reinvio del port di Pinkslipbot Control Server (o PCSPDPFRT, in breve ... sto scherzando). Lo strumento è disponibile per il download qui. Inoltre, un breve manuale utente è disponibile qui [PDF].
Una volta scaricato lo strumento, fai clic con il tasto destro del mouse e Esegui come amministratore.
Lo strumento esegue automaticamente la scansione del sistema “rilevare la modalità.” Se non ci sono attività dannose, lo strumento si chiude automaticamente senza apportare modifiche alla configurazione del sistema o del router.
Tuttavia, se lo strumento rileva un elemento malevolo, puoi semplicemente utilizzare il / del comando per disabilitare e rimuovere le regole di port forwarding.
Evitare il rilevamento
È in qualche modo sorprendente vedere un trojan bancario di questa sofisticazione.
A parte il già citato worm Conficker “le informazioni sull'uso dannoso di UPnP da parte del malware sono scarse.” Più pertinentemente, è un chiaro segnale che i dispositivi IoT che utilizzano UPnP sono un enorme obiettivo (e vulnerabilità). Poiché i dispositivi IoT diventano onnipresenti, devi ammettere che i criminali informatici hanno un'opportunità d'oro. (Anche il tuo frigo è a rischio! Lo Smart Fridge di Samsung si è appena fatto impazzire.) A proposito del resto della tua Smart Home? Il frigo intelligente di Samsung è appena diventato pwned.Per quanto riguarda il resto della tua Smart Home? Una vulnerabilità con il frigorifero intelligente Samsung è stata scoperta dal Regno Unito Basato su Penna Test Infosec Firm. L'implementazione della crittografia SSL da parte di Samsung non controlla la validità dei certificati.
Ma mentre Pinkslipbot si trasforma in una variante di malware difficile da rimuovere, è ancora classificata solo al 10 ° posto tra i tipi di malware finanziari più diffusi. Il primo posto è ancora detenuto da Client Maximus.
La mitigazione rimane fondamentale per evitare il malware finanziario, sia esso un business, un'azienda o un utente domestico. Educazione di base contro il phishing Come individuare un e-mail di phishing Come individuare un e-mail di phishing Catturare un e-mail di phishing è difficile! I truffatori si pongono come PayPal o Amazon, cercando di rubare la password e le informazioni della carta di credito, il loro inganno è quasi perfetto. Ti mostriamo come individuare la frode. Ulteriori informazioni e altre forme di attività malevole mirate Come gli scammer utilizzano le e-mail di phishing per indirizzare gli studenti Come gli scammer utilizzano le e-mail di phishing per indirizzare gli studenti Il numero di frodi rivolte agli studenti è in aumento e molti stanno cadendo in queste trappole. Ecco cosa devi sapere e cosa dovresti fare per evitarli. Leggi di più vai avanti in modo massiccio per fermare questo tipo di infezione entrando in un'organizzazione - o anche a casa tua.
Interessato da Pinkslipbot? Era a casa o la tua organizzazione? Sei stato escluso dal tuo sistema? Fateci sapere le vostre esperienze qui sotto!
Immagine di credito: akocharm tramite Shutterstock
Scopri di più su: malware, cavallo di Troia.