Telecom News - קמפיין זדוני מדביק ב'דלת אחורית' ומופץ ע"י טורנטים של סדרות מדרום קוריאה

קמפיין זדוני מדביק קורבנות ב'דלת אחורית' ומופץ באמצעות טורנטים של סדרות ומשחקים דרום קוריאנים
מאת: מערכת Telecom News, 10.7.19, 15:10 SOCIAL MEDIA SOUTH KOREA

ידוע שישראלים הם מהמובילים בעולם בהורדה ושיתוף טורנטים. היום מדובר בהתקפה המתמקדת בדרום קוריאה, אך מחר היא כבר יכולה להתמקד בתכנים ישראליים או באופן כללי בתכנים באנגלית.

חוקרים של ESET גילו קמפיין זדוני, שמפיץ נוזקת 'דלת אחורית' באמצעות טורנטים של סדרות קוריאניות או משחקים. הדלת האחורית מופצת באמצעות אתרי סיקור בדרום קוריאה ובסין ומאפשרת לתקוף את המחשב שנפגע ולחבר אותו לבוטנט וכך לשלוט בו מרחוק.

הנוזקה היא גרסה שונה של נוזקת דלת אחורית בשם GoBot2. השינויים בקוד המקור הם בעיקר בטכניקות התחמקות ספציפיות לדרום קוריאה, ESET מכנה את הנוזקה המתמקדת בעיקר בדרום קוריאה בשם GoBotKR ומעדכנת, שהיא פעילה כבר מ-2018.

התוקפים מאחורי נוזקה זו גורמים למשתמשים ליפול במלכודת באמצעות קבצים בעלי שמות מטעים, סיומות מטעות ואייקונים מטעים. פתיחה של קובץ MP4 לא תפעיל את הנוזקה. המלכוד הוא, שהקובץ בד"כ מוסתר בתת תיקיה אחרת, ובתיקיה הראשית נמצא הקובץ המזויף הזדוני.

החברה טוענת, שהתוכנה הזדונית אינה מורכבת מבחינת טכנית. אך עם זאת, התוקפים, שעומדים מאחורי הנוזקה הזו, בונים רשת של בוטים, שיכולים לבצע ביחד התקפות DDoS מסוגים שונים. לאחר שההתקפה יוצאת לפועל, GoBotKR אוספת את מידע המערכת של המחשב הנפגע, כולל תצורת הרשת, מידע על גרסאות מערכת ההפעלה וגרסאות CPU ו-GPU. כאשר בניגוד למרבית המקרים, היא גם אוספת רשימה של תוכנות אנטי-וירוס מותקנות.

מידע זה נשלח לשרת C&C המסייע לתוקפים לקבוע באילו בוטים להשתמש במתקפות. כל הדגימות, שנאספו מהתוכנה הזדונית, מתארחות בדרום קוריאה ורשומות ע"י אותו אדם.

לבוט יש מגוון רחב של פעולות. למשל, הוא מאפשר למפעילי הבוטנט שליטה במחשב וכך להרחיב אפילו יותר את הבוטנט, להתחמק ולהסתתר מהמשתמש. בנוסף, יש אפשרות לכוון מתקפות DDoS לקורבנות מסוימים, העתקת תוכנות זדוניות למדיה נשלפת המחוברת למחשב או לתיקיות ציבוריות בשירותי אחסון בענן (דוגמת Dropbox, OneDrive ו-Google Drive) וזריעת טורנטים עם קבצים זדוניים כאמצעי נוסף להרחבת הבוטנט.

אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע ESET בישראל: "ידוע שישראלים הם מהמובילים בעולם בהורדה ושיתוף טורנטים. היום מדובר בהתקפה המתמקדת בדרום קוריאה, אך מחר היא כבר יכולה להתמקד בתכנים ישראליים או באופן כללי בתכנים באנגלית.

באופן כללי אסור לסמוך על תכנים, שמורדים באמצעות טורנטים או תוכנות אחרות לשיתוף קבצים, שבד"כ משותפים בהן תוכנות ותכנים פיראטיים.

אתרי טורנטים לעתים מציעים גם קישורים להורדה מהירה או הורדה ממומנת. כדאי להימנע מבחירה בקישורים אלה, שלרוב הם מזויפים כמו גם הקלקה על פרסומות באתרי טורנטים מכיוון שהם עלולים להוביל להדבקה בטרויאנים. קבצים כנ"ל עלולים להכיל נוזקות במקום או בנוסף לקובץ המקורי".