Британската компания за информационна и интернет сигурност Sophos алармира за опасна зловредна програма, която атакува потребителите по цял свят. Името ѝ е Baldr и целта ѝ е кражба на информация. Открита в началото на тази година да се продава в руски хакерски форуми, Baldrе е сложен вирус, който получава чести обновления от появата си, което прави засичането му проблематично.

Изглежда, че основните му жертви са геймъри, тъй като най-често се среща в коментарите под видеоклипове в YouTube, в които се рекламират чийтове за игри. Най-често CS:GO, Apex Legends и Fortnite. Освен това, Sophos са видели предлагането му и в гейминг канали в Discord и Telegram, както и идващ с кракнати игри и легитимни криптокопачи.

По отношение на зловредния товар и начина, по който бива заразявана системата с Baldr, то от компанията споделят, че от началото на кампанията на авторите на програмата, методите са се увеличили, но основните са посредством .ace архив и .rtf текстови файлове. И в двата случая се използват добре известни уязвимости. Експлоатирането им помага за разполагането и автоматичното стартиране на Baldr. При първия случай става въпрос за уязвимост в WinRAR (CVE-2018-20250), покрита през февруари. Става дума за проблем в библиотека с името unacev2.dll. При отварянето на .ace файла от страна на потребителя, библиотеката извлича файла в произволна пътека и го изпълнява. Следващия експлойт е за CVE-2018-0802 – уязвимост, засягаща Microsoft Office 2007, 2010, 2013 и 2016.

След разархивирането на Baldr, той профилира системата и краде информация, което се случва за по-малко от минута, като има способността да извлича данни от 22 различни браузъра. Това, което търси са данни за вписване в различни услуги, имейл, биткойн портфейли, FTP и VPN кредитиви, бисквитки и друга информация.

Както може да видите от изображението по-долу, разпространението му е доста широко със силно присъствие в страни, като Русия, САЩ, Бразилия и Индонезия, части от Европа, Азия и Австралия.

В края на май се появява изненадващо съобщение в хакерски форум, в който човекът или групата зад Baldr съобщават, че неговата поддръжка се прекратява. Разпространението му все пак си остава активно и е добре да спазвате нужното, за да останете в безопасност от подобна заплаха: дръжте системата си и софтуера към нея винаги обновени, използвайте модерно решение за защита и ако интернет услугата, която ползвате, независимо геймърска ли е или не, позволява двуфакторна авторизация, включете я. По този начин, даже и данните ви за вписване да бъдат откраднати, вашият акаунт няма да може да бъде превзет.

Пълният анализ на Baldr и дейността му, може да откриете тук (pdf).

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за