Fruity Trojan instalira Remcos RAT
Primijećeno je da zlonamjerni akteri stvaraju lažne Internet stranice na kojima se nalaze instalacije trojanizovanog softvera kako bi prevarili korisnike da preuzmu zlonamjerni softver za preuzimanje pod nazivom Fruity sa ciljem da instaliraju alate za udaljene trojance kao što je Remcos RAT.
Fruity Trojan instalira Remcos RAT; Source: Bing Image Creator
Fruity Trojan
Napad na korisnike Windows operativnog sistema se vrši preko modularnog trojanca za preuzimanje pod nazivom Fruity (Trojan.Fruity.1). Uz njegovu pomoć, zlonamjerni napadači mogu da zaraze računare različitim vrstama zlonamjernog softvera, u zavisnosti od ciljeva napadača. Da bi prikrili napad i povećali šanse da bude uspješan, koriste razne trikove. To uključuje proces infekcije u više faza za ciljne sisteme, korištenje bezopasnih aplikacija za pokretanje komponenti trojanca i pokušaj da se zaobiđe antivirusna zaštita.
Za distribuciju ovog zlonamjernog softvera zlonamjerni akteri kreiraju zlonamjerne Internet lokacije i posebno napravljene programe za instalaciju softvera. Među softverima u pitanju su različiti instrumenti za fino podešavanje procesora (CPU), grafičkih kartica i BIOS-a, alati za praćenje hardvera računara i neke druge aplikacije. Ove instalacije se koriste kao mamac i sadrže ne samo softver za koji su potencijalne žrtve zainteresovane, već i sam trojanac sa svim njegovim komponentama.
Kada posjetilac pokuša da preuzme aplikaciju sa lažne Internet stranice, on se preusmjerava se na Internet stranicu usluge za skladištenje datoteka MEGA, koja im nudi ZIP datoteku, koja sadrži paket za instalaciju trojanca, za preuzimanje.
Kada korisnik raspakuje arhivu i počne je, počinje standardni proces instalacije. Međutim, uz željeni bezopasni program, koji odvlači pažnju korisnika, Fruity Trojan se takođe instalira na uređaj sa ostalim komponentama i kopira se u isti direktorijum kao i aplikacija za privlačenje. Kada se sve komponente izvuku raspakuju iz instalacije, počinje višestepeni proces infekcije ciljnog sistema.
Remcos RAT
Remcos zlonamjerni softver je zapravo legitiman alat koji prodaje njemačka kompanija pod nazivom Breaking Security pod imenom Remote Control and Surveillance i hakeri ga često zloupotrebljavaju. Zloupotrebljena verzija za izbjegavanje detekcije koristi ubacivanje kôda u legitimne procese da bi se izvršio zlonamjerni kôd (eng. process hollowing). Zlonamjerni softver takođe primjenjuje mehanizme postojanosti i radi u pozadini da bi se sakrio od korisnika.
Kao alatu za daljinsku kontrolu (RAT), server za komandu i kontrolu (C2) je podrazumijevana osnovna sposobnost ovog zlonamjernog softvera. Zlonamjerni saobraćaj je šifrovan na putu do C2 servera, a napadač koristi distribuirani DNS da kreira različite domene za C2 servere. Ovo omogućava zlonamjernom softveru da zaobiđe zaštitu koja se oslanja na filtriranje saobraćaja ka poznatim zlonamjernim domenima.
Remcos je sofisticirani RAT, što znači da napadaču daje punu kontrolu nad zaraženim računarom i može se koristiti u raznim napadima. Korištenjem ovog zlonamjernog alata napadač može izvršiti preuzimanje korisničkih naloga, krađu podatka ili instalaciju dodatnih zlonamjernih softvera na inficiranom uređaju.
Zaključak
Uprkos činjenici da Fruity Trojan trenutno distribuira zlonamjernu aplikaciju Remcos RAT, zlonamjerni akteri mogu da koriste ovaj trojanac za preuzimanje i za infekciju uređaja drugim zlonamjernim softverom. U isto vreme, Remcos RAT zlonamjerni softver se može ili preuzeti sa Interneta ili distribuirati zajedno sa Fruity Trojan kao dio instalacije trojanskog softvera. Kao rezultat toga, sajber kriminalci imaju više mogućnosti da izvedu različite scenarije napada.
Zaštita
Korisnicima se preporučuje upotreba renomiranih bezbjednosnih programa za otkrivanje i blokiranje zlonamjernog softvera, uključujući i Fruity Trojan. Potrebno je voditi računa o svojim aktivnostima na mreži, posebno na nepoznatim Internet lokacijama. Izbjegavati klikove na sumnjive oglase ili linkove za preuzimanje. Takođe, potrebno je vršiti redovno ažuriranje operativnog sistema, aplikacija i bezbjednosnog softvera.
