QWERTY kradljivac podataka

QWERTY kradljivac podataka je sofisticiran i opasan zlonamjerni softver koji predstavlja značajnu prijetnju Windows operativnim sistemima. Ovaj zlonamjerni softver, otkriven na javno indeksiranom domenu i koristi napredne tehnike protiv otklanjanja grešaka i opsežne mogućnosti eksfiltracije podataka.

QWERTY kradljivac podataka; Source: Bing Image Creator

QWERTY KRADLJIVAC PODATAKA

QWERTY kradljivac podataka je vrsta zlonamjernog softvera koji koristi sofisticirane tehnike protiv otklanjanja grešaka i metode eksfiltracije podataka. Prvo ga je otkrila firma za sajber bezbjednost CYFIRMA na javno indeksiranom internet serveru, mailservicess[. ]com, koji je bio smješten na Linux virtuelnom privatnom serveru (eng. virtual private server – VPS) u Frankfurtu, Njemačka.

Funkcionisanje

Kao što je već rečeno, QWERTY kradljivac podataka se može pratiti do Linux virtuelnog privatnog u Frankfurtu, Njemačka. Server, koji je identifikovan kao Ubuntu Linux 20.04, imao je ograničene usluge koje su bile izložene, sa samo uslugom Secure Shell  (SSH) koja je bila dostupna na portu 6579. Ovdje su sigurnosni istraživači prvi put pronašli QWERTY kradljivac podataka.

Zlonamjerni softver se sam preuzima kada korisnik koji ništa ne sumnja posjeti ugroženu internet lokaciju. Jednom instaliran, počinje svoje aktivnosti eksfiltracije podataka krađom osjetljivih informacija kao što su akreditivi za prijavu i drugi vrijedni podaci.

Ovaj zlonamjerni softver cilja Windows operativne sisteme i koristi napredne tehnike protiv otklanjanja grešaka kako bi izbjegao otkrivanje. Ove tehnike uključuju provjeru prisustva otklanjanja grešaka u memoriji, praćenje promjena temperature procesora i korištenje metoda detekcije virtuelizacije. Sposobnost zlonamjernog softvera da zaobiđe uobičajene mjere bezbjednosti čini ga ogromnim protivnikom u domenu sajber bezbjednosti.

Primarni cilj QWERTY kradljivca podataka je eksfiltracija podataka. Jednom instaliran na Windows sistem, zlonamjerni softver počinje da indeksira sve datoteke i otprema ih na svoje komandne i kontrolne (C2) servere koristeći HTTP POST zahteve. C2 server odgovara dodatnim izvršnim datotekama. Ove izvršne datoteke vrše dalje indeksiranje datoteka na zaraženom sistemu i otpremaju podatke na C2 server koristeći HTTP POST zahteve.

Komunikacija između QWERTY kradljivca podataka i njegovih C2 servera je šifrovana, što otežava bezbjednosnim stručnjacima da presretnu ili dešifruju eksfiltrirane podatke. Zlonamjerni softver koristi jedinstveni identifikator, “qwerty”, u svojim HTTP pozivima tokom prenosa podataka. Ovaj identifikator može pomoći timovima za sajber bezbjednost da otkriju potencijalne prijetnje praćenjem mrežnog saobraćaja za instance ove ključne riječi.

Mogućnosti

Mogućnosti QWERTY kradljivca podataka se protežu dalje od samo sistemske telemetrije i prikupljanja podataka internet pregledača. Takođe je poznato da cilja na akreditive uskladištene u internet pregledačima i klijentima elektronske pošte, što ga čini ozbiljnom prijetnjom po bezbjednost organizacije. Zlonamjerni softver može da ukrade akreditive za prijavu za popularne internet lokacije kao što su Microsoft Outlook, Google Mail, Facebook, LinkedIn i Dropbox između ostalih.

Sposobnost zlonamjernog softvera da izbjegne otkrivanje i eksfiltrira osjetljive informacije naglašava važnost stalne budnosti i naprednih strategija otkrivanja za ublažavanje ovih rizika. Organizacije moraju da primjenjuju robusne bezbjednosne mjere kao što su jake politike lozinki, redovna ažuriranja softvera, autentifikacija u više koraka i renomirana antivirusna rješenja.

ZAKLJUČAK

QWERTY kradljivac podataka je sofisticirani zlonamjerni softver koji predstavlja značajnu prijetnju za Windows operativne sisteme zbog svojih naprednih tehnika protiv otklanjanja grešaka i opsežnih mogućnosti eksfiltracije podataka. Njegov jedinstveni potpis tokom komunikacije sa C2 serverima čini ga lako prepoznatljivim, ali takođe naglašava važnost kontinuirane budnosti i robusnih bezbjednosnih mjera.

QWERTY kradljivac podataka prikuplja sistemsku telemetriju i podatke internet pregledača, što ga čini osnovnim alatom za zlonamjerne aktere koji žele da dobiju neovlašteni pristup osjetljivim informacijama. Zbog toga je veoma bitno naglasiti važnost kontinuirane budnosti i naprednih strategija otkrivanja koje se ne mogu precijeniti kada se radi o prijetnjama kao što je QWERTY kradljivac podataka.

Stručnjaci za sajber bezbjednost moraju biti informisani o najnovijim prijetnjama i primijeniti robusne bezbjednosne mjere za zaštitu sistema i podataka od zlonamjernih aktera. Redovna ažuriranja softvera, jake lozinke, autentifikacija u više koraka i obuka zaposlenih su samo neki od osnovnih koraka koje organizacije mogu preduzeti da bi ublažile rizike povezane sa ovakvim prijetnjama.

ZAŠTITA

Evo nekoliko preporuka za korisnike i organizacije kako bi se zaštitili od zaštitu od QWERTY kradljivca podataka:

1. Uvjeriti se da su svi operativni sistemi i aplikacije ažurirani najnovijim ispravkama da kao bi se zaštitili od poznatih ranjivosti koje bi mogao da iskoristi zlonamjerni softver kao što je QWERTY kradljivca podataka,
2. Primijeniti politiku jakih lozinki za sve korisničke naloge na Windows sistemima, pošto je QWERTY kradljivca podataka dizajniran da krade akreditive. Lozinke treba da budu složene i jedinstvene za svaki nalog,
3. Omogućiti autentifikaciju u više koraka (eng. multi-factor authentication – MFA), jer dodaje dodatni sloj bezbjednosti zahtjevajući od korisnika da obezbijede dodatnu verifikaciju pre pristupa osjetljivim informacijama ili aplikacijama. Ovo može pomoći u sprečavanju neovlaštenog pristupa čak i ako je lozinka ugrožena,
4. Blokirati sumnjive domene, jer QWERTY kradljivac podataka komunicira sa svojim komandnim i kontrolnim serverima koristeći određena imena domena, kao što je mailservicess[.]com. Organizacije bi trebalo da blokiraju ove domene na svojim zaštitnim zidovima kako bi spriječile da se zlonamjerni softver poveže sa njima,
5. Implementirati robusno rješenje protiv zlonamjernog softvera koje može da otkrije i ukloni QWERTY kradljivca podataka i druge slične prijetnje. Redovno ažurirati softver za zaštitu od zlonamjernog softvera kako bi se osiguralo da ostane efikasan protiv najnovijih prijetnji,
6. Paziti na mrežni saobraćaj za bilo koju neuobičajenu aktivnost, kao što su veliki prenos podataka ili veze sa poznatim zlonamjernim domenima. Primjena rješenja za bezbjednost mreže koje može da nadgleda i upozorava na sumnjive aktivnosti može pomoći u sprečavanju eksfiltracije podataka,
7. Zlonamjerne prijetnje kao što je QWERTY kradljivac podataka se često oslanjaju na taktiku društvenog inženjeringa da bi dobili pristup sistemima. Redovno obučavanje zaposlenih o tome kako da identifikuju phishing elektronske poruke, izbjegavaju klikove na sumnjive veze ili preuzimanje priloga iz nepoznatih izvora i prate prakse bezbjednog pregledanja,
8. Implementirati rješenje za sprečavanje gubitka podataka (eng. data loss prevention – DLP), jer ova riješenja mogu pomoći u sprečavanju eksfiltriranja osjetljivih informacija od strane zlonamjernog softvera kao što je QWERTY kradljivac podataka. Ova rješenja mogu da nadgledaju i kontrolišu kretanje podataka kako lokalno tako i u oblaku, pomažući da se osigura da samo ovlašćeni korisnici imaju pristup osjetljivim informacijama,
9. Koristiti virtualnu privatnu mrežu (VPN) kako se šifrovao sav saobraćaj između korisničkog računara i interneta, što otežava zlonamjernom softveru kao što je QWERTY kradljivac podataka da presretne podatke tokom prenosa. Korišćenje renomirane VPN usluge može pomoći u zaštiti od pokušaja eksfiltracije podataka,
10. Redovno praviti rezervne kopije podataka, kako bi se u slučaju uspješnog napada od strane QWERTY kradljivca podataka ili bilo kog drugog zlonamjernog softvera, postigao suštinski značaj u pogledu smanjenja uticaja napada i obezbjeđivanje kontinuiteta poslovanja. Primjena robusnog rješenja za pravljenje rezervnih kopija koje može automatski da napravi rezervnu kopiju kritičnih podataka na lokaciji van lokacije može pomoći u zaštiti od gubitka podataka.