Újabb veszélyes vírus támadja Kelet-Európát

Napjainkban a technika fejlődésének köszönhetően egyre több kibertámadás zajlik. Mindezek veszélyeztetik eszközeinket és a rajtuk tárolt adatainkat is, melynek kiküszöbölése érdekében már rengeteg víruskereső programot választhatunk, tölthetünk le eszközeinkre, hogy elhárítsák a problémát. Azonban sajnos ezek sem jelentenek teljes védelmet számítógépeinkre nézve: az új tomboló vírus - mely főképp Kelet-Európát célozza - már egy rosszindulatú program segítségével is hatalmas kárt tud okozni a felhasználóknak.

A vírus háttere

A finn WithSecure kiberbiztonsági vállalat egy olyan rosszindulatú programot fedezett fel, mely egy orosz kötődésű hackercsoport által lett kialakítva. A programot több néven is emlegetik: APT44 és Seashell Blizzard, továbbá a Microsoft által KnuckleTouch-ként hivatkoznak az egyre jobban terjedő vírusra. Ennek megjelenése 2022 közepe körül lehetett Kapeka nevű kártevőként nyilvántartva, mely korábban nem került dokumentálásra. A The Hacker News kutatói szerint egy nagyon felszerelt funkciókkal bíró programról van szó, mely akár hozzáférhet hosszabb távon is a felhasználó eszközéhez.

Mit tartalmaz ez a vírus és hogyan működik?

A Kapeka nevű kártevő egy úgynevezett droppert tartalmaz, melynek segítségével elindul a vírus terjedése az adott eszközön és telepítésre kerül a veszélyes kód is. Érdekessége, hogy mindezek után a dropper távozik, vagyis kitörli saját magát a fertőzött gépről.

2024 februárjában a Microsoft írt egy tanácsadót, melyben részletesen kifejtette a vírus jelentőségét: a Kapekát egy úgynevezett zsarolóprogramként írta le, mely különböző funkcióknak a végrehajtására is alkalmazható. Ilyenek például a hitelesítő adatok, majd egyéb adatok ellopása és az úgynevezett pusztító támadások végrehajtása. De ez még semmi: az érintett felhasználó eszköze akár hosszú távon is távoli hozzáférésben megfigyelhető lesz a hackerek számára.

Továbbá a kutatók megvizsgálásának köszönhetően az is kiderült, hogy a kártékony program még álcázza is magát egy Word-bővítménynek, azonban itt nem csak az álcázás a lényeg. A háttérben a dropper által elindított backdoor komponens DLL információk tömegét gyűjti a veszélyeztetett gazdagépről és többszálban is különböző végrehajtásokat hajt végre a lekérésekhez, feldolgozáshoz és az eredmények kiszűréséhez.

Terjedése

Sajnos a vírus terjedésének hátteréről és pontos módjáról nem tudunk sok mindent, azonban a Microsoft közbelépett, hogy csökkentse az adott vírus rohamos terjedését. A droppert a certutil segédprogram segítségével leszűrik a veszélyeztetett webhelyekről, mely megakadályozhatja a fájlok által lebonyolított támadás valószínűségét.

Továbbá nagyon fontos, hogy a zsarolóvírusok elkerülése érdekében mi is tegyünk valamit. Adataink védelme érdekében ajánlott több víruskereső program futtatása is az eszközön, továbbá az erős jelszavak és többlépcsős hitelesítés alkalmazása, biztonsági mentés készítése a fontosabb adatokról. Fontos, hogy ne töltsünk le olyan adatokat a számítógépünkre, melyek akár gyanúsnak tűnnek, vagy esetleg egy teljesen idegen oldalról származnak. 

Források:

Kifejezetten Kelet-Európát célozza egy veszélyes új vírus, hvg.hu - 2024.04.27.

Russian APT Deploys New 'Kapeka' Backdoor in Eastern European Attacks, thehackernews.com, Newsroom - 2024.04.17.