מבט על העלייה והנפילה של הקוד הזדוני הפופולרי Baldr ו"מאפייני ההרג שלו"
מאת: מערכת Telecom News, 23.8.19, 02:04
Baldr הוא מפלצת פרנקשטיין של שורות קוד.Baldr עלול עדיין להיות בשימוש של עבריינים, שרכשו אותו בעבר, והוא עדיין מהווה איום. על הגיימרים להיזהר במיוחד. כיצד על עסקים ומשתמשים להתגונן?
סופוס, שעוסקת באבטחת רשת ונקודות קצה, פרסמה מחקר מפורט של מעבדות סופוס המתמקד ב-
Baldr - קוד זדוני הגונב מידע, שהופיע לראשונה בינואר 2019.
הדו"ח "Baldr נגד העולם" מספק מבט מעמיק אל הקוד הזדוני הפופולרי ועל מאפייני "שרשרת-ההרג" הייחודים שלו. מחקר העומק גם חושף את
הפעילות שמאחורי הקוד הזדוני, כולל התנהגות עברייני הסייבר והשגיאות שלהם, גם בצד המוכר וגם בצד הקונה, שהובילו להיעלמותו הפתאומית
מהרשת העמוקה במהלך חודש יוני.
הרשת העמוקה היא שכבת ביניים, בין הרשת העילית (שבה כולנו גולשים) לבין
הרשת האפלה, שם רוחשת הפעילות העבריינית הקשה. מאחר שקשה יותר לגשת לרשת האפלה, לעיתים קרובות מוכרים עברייני סייבר את הקוד הזדוני
ברשת העמוקה כדי להגיע לקהל רחב יותר (כן, עברייני סייבר הם קפיטליסטים המונחים ע"י שיקולים עסקיים) ולעברייני סייבר מתחילים המחפשים ליצור רווח מהיר. החברה מאמינה, שזאת הייתה הכוונה של מפתחי
Baldr.
על פי
SophosLabs, האנשים, שפיתחו את
Baldr, יצרו אותו כדי למכור אותו לעברייני סייבר מתחילים ברשת העמוקה, ואלה החלו להשתמש בו כדי לתקוף גיימרים במחשבי
PC. מאז,
Baldr התקדם הרבה מעבר לפגיעה בגיימרים - לכל סוגי המשתמשים.
Baldr, בדומה לסוגים רבים של קוד זדוני, משתמש ברכיבי קוד, שנלקחו ממשפחות קוד זדוני אחרות. עם זאת,
Baldr מורכב ממספר גדול במיוחד של רכיבי קוד זדוני אחרים, ובכך הוא מזכיר את "מפלצת פרנקשטיין" של הקוד הזדוני.
סיבה אחת, שמשתמשי מחשב צריכים להיזהר מ-
Baldr, היא מכיוון שהוא יכול לבזוז במהירות טווח רחב של סוגי מידע מהקורבנות, כולל סיסמאות שמורות, קבצי הגדרות, עוגיות וקבצים, ומטווח רחב של אפליקציות.
החברה עקבה אחר הדבקות ברחבי העולם בעיקר במדינות הבאות:
- אינדונזיה (יותר מ- 21% מסך הקורבנות)
- ארה"ב (10.52%)
- ברזיל (14.14%)
- רוסיה (13.68%(
- הודו (8.77%)
Baldr נעלם "מהמדפים" בחודש יוני, כנראה בעקבות ויכוח בין היוצר והמפיץ.
SophosLabs צופה, שהוא יצוץ מחדש עם הזמן, כנראה, בשם אחר.
גיימרים היזהרו
גיימרים משתמשים בדרך כלל במערכות עוצמתיות בהרבה, והם מוכנים גם להתקין כלים שונים, יישומים ואפליקציות מטווח רחב של מקורות. כל אלה הופכים אותם לקורבנות אידאליים עבור כותבי הקוד הזדוני. יותר מכך, יישומי "צ'יטים" לעיתים קרובות משתמשים בטכניקות נפוצות של קוד זדוני, כגון הזרקות
DLL או הוספת והזרקת קוד אל הזכרון. הדבר יכול להוביל לא רק לחוסר יציבות של המערכת, אלא גם לפגיעה בחוויית המשחק של כל מי שמעורב.
כיצד להתגונן מפני Baldr
כדי להתגונן מפני
Baldr, מומלץ למשתמשי מחשב להיות מודעים לפרסומות וידאו מזויפות המבטיחות "הרבה יותר מידי". אם זה נראה טוב מידי מכדי להיות אמיתי, כנראה, שזה באמת כזה. תמיד יש להשתמש באמצעי אבטחת סייבר בסיסיים ונכונים, בכל זמן ובכל המכשירים.
עסקים יכולים להשתמש בפתרון אבטחה ארגוני המזהה קוד זדוני ומגן גם מפני תוכנות כופר, פתרון לסריקת מחשבי גיימינג ומחשבים משפחתיים כדי לזהות את
Baldr וקוד זדוני אחר, פתרון המפעיל גישה רב שכבתית לאבטחה, שמשלבת זיהוי התנהגות, הגנה מפני כלי פריצה מתקדמים, אנטי וירוס וזיהוי סטטי מבוסס
AI. אלה עובדים יחדיו כדי להגן על גיימרים. רצוי פתרון שגם מגן על העברות קבצים מאתרי גיימינג מפוקפקים ושרתים, באמצעות ניתוח תעבורת הרשת, שמזהה תעבורה זדונית ע"י סריקת הורדות בזמן אמת.
ולא פחות חשוב, כל משתמשי המחשב צריכים לעבוד באופן חכם עם סיסמאות. השתמשו בסיסמאות מורכבות ושנו אותן לעיתים קרובות. השתמשו בסיסמאות ייחודיות לבנקאות ולחשבונות פיננסים אחרים, ונטרו את החשבונות אחר פעילות חשודה.
אלברט זיגוביץ, חוקר איומים של
SophosLabs בהונגריה. "נראה בהמשך אם
Baldr היה רק הבלחה קצרה, או שהוא יחזור כאיום ארוך טווח. בכל מקרה, הקיום שלו הוא תזכורת טובה לכ, שאפילו רכיבי קוד, שנתפרו יחדיו כדי ליצור 'מפלצת קוד זדוני דמוית פרנקשטיין', עלולים להיות יעילים מאוד לצורך פריצה פנימה, איסוף כל מה שבא ליד, והתחמקות חזרה החוצה. הדרך היחידה לעצור איומים כאלה היא באמצעות שימוש באמצעי אבטחה בסיסיים, אבל חיוניים הכוללים שימוש בתוכנת אבטחה מעודכנת.
אפילו ש-
Baldr אינו זמין כרגע למכירה ברשת העמוקה, עברייני סייבר, שרכשו אותו בעבר, עדיין יכולים לעשות בו שימוש, והוא עדיין מהווה איום. באופן כללי, גיימרים וכל משתמשי המחשב צריכים להיות זהירים וערניים לגבי קודים זדוניים, ולנקוט בצעדים כדי להגן על המערכות שלהם עם תוכנת אבטחה הסורקת תוכנות משחק ו'צ'יטים'".
