{"id":4806,"date":"2023-05-14T16:04:27","date_gmt":"2023-05-14T14:04:27","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4806"},"modified":"2023-05-14T16:04:27","modified_gmt":"2023-05-14T14:04:27","slug":"lazno-windows-azuriranje-i-aurora-kradljivac","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/05\/14\/lazno-windows-azuriranje-i-aurora-kradljivac\/","title":{"rendered":"La\u017eno Windows a\u017euriranje i Aurora kradljivac"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Primije\u0107ena je distribucija <em>Aurora<\/em> kradljivca kroz simulaciju <em>Windows<\/em> a\u017euriranja u Internet pregleda\u010du u kampanji zlonamjernog ogla\u0161avanja.<\/span><\/p>\n<div id=\"attachment_4809\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4809\" class=\"size-full wp-image-4809\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update.jpg\" alt=\"Fake Windows Update\" width=\"1024\" height=\"646\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-300x189.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-768x485.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4809\" class=\"wp-caption-text\"><em>La\u017eno Windows a\u017euriranje i Aurora kradljivac; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n<p><span style=\"font-size: 14pt;\"><em>Aurora<\/em> kradljivac je napisan u programskom jeziku <em>Go<\/em>, poznat jo\u0161 kao <em>Golang<\/em>, otvorenog koda razvijen od strane kompanije <em>Google<\/em> i dostupna je na raznim hakerskim forumima vi\u0161e od godinu dana. Autori ovog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> reklamiraju ga kao kradljivca podataka sa \u0161irokim spektrom mogu\u0107nosti i malom mogu\u0107no\u0161\u0107u detekcije od strane sigurnosnih rje\u0161enja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Po dostupnim informacijama iz sigurnosne kompanije <a href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/05\/fake-system-update-drops-new-highly-evasive-loader\" target=\"_blank\" rel=\"noopener\"><em>Malwarebytes<\/em><\/a>, kampanja zlonamjernog ogla\u0161avanja se oslanja na reklame koje se otvaraju u novom pozadinskom prozoru na strancima za odrasle koje su veoma posje\u0107ene, gdje se korisnici preusmjeravaju na veb lokaciju sa zlonamjernim softverom.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span style=\"font-size: 14pt;\"><strong>La\u017eno Windows a\u017euriranje<\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Napada\u010di koriste zlonamjerne reklame da preusmjere korisnike na stranice koje izgledaju kao <em>Windows<\/em> a\u017euriranje. Prevara je dobro razra\u0111ena i oslanja se na prikaz Internet pregleda\u010da preko cijelog ekrana, \u0161to prili\u010dno asocira na prikaz <em>Windows<\/em> a\u017euriranja kakav se o\u010dekuje od kompanije <em>Microsoft<\/em>. La\u017eno a\u017euriranje koristi tek otkriveni program za u\u010ditavanje koji je o\u010digledno namijenjen za zaobila\u017eenje sigurnosnih rje\u0161enja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Korisnici <em>Windows<\/em> operativnog sistema su dobro upoznati kako funkcioni\u0161e <em>Windows<\/em> a\u017euriranje, koje po nekada zna da prekine teku\u0107i posao pa korisnici \u017eele samo da ga \u0161to prije instaliraju i nastave da tamo gdje su stali. Ovu situaciju koriste napada\u010di da bi korisnicima u pozadinskom prozoru Internet pregleda\u010da koji se otvara preko cijelog ekrana prikazali prili\u010dno ubjedljivu simulaciju <em>Windows<\/em> a\u017euriranja.<\/span><\/p>\n<div id=\"attachment_4811\" style=\"width: 2570px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4811\" class=\"size-full wp-image-4811\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-simulation-scaled.webp\" alt=\"Fake Windows Update simulation\" width=\"2560\" height=\"1527\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-simulation-scaled.webp 2560w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-simulation-300x179.webp 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-simulation-1024x611.webp 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-simulation-768x458.webp 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-simulation-1536x916.webp 1536w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-simulation-2048x1222.webp 2048w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/05\/Fake-Windows-Update-simulation-18x12.webp 18w\" sizes=\"auto, (max-width: 2560px) 100vw, 2560px\" \/><p id=\"caption-attachment-4811\" class=\"wp-caption-text\"><em>Fake Windows update; Resource from: <\/em><a href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/05\/fake-system-update-drops-new-highly-evasive-loader\" target=\"_blank\" rel=\"noopener\"><em>Malwarebytes<\/em><\/a><\/p><\/div>\n<p><span style=\"font-size: 14pt;\">Prikaz iznad je prili\u010dno ubjedljivog izgleda, a ustvari je prozor Internet pregleda\u010da prokazan preko cijelog ekrana dok se u pozadini preuzima datoteka pod imenom <em>ChromeUpdate.exe<\/em>. Iako se po nazivu \u010dini da je to <em>Chrome<\/em> a\u017euriranje, to je ustvari posebno pripremljena datoteka u \u010dije ime su uba\u010dena \u0107irili\u010dna slova kao mjera izbjegavanje detekcije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kada je datoteka prilikom analize pokrenuta u izolovanom okru\u017eenju, sigurnosni istra\u017eiva\u010di nisu ni\u0161ta primijetili, osim da se brzo pokre\u0107e i izvr\u0161ava za veoma kratko vrijeme. Zlonamjerni akteri su svaku verziju slali na analizu na servisu <em>VirusTotal<\/em> (koji je u vlasni\u0161tvu kompanije <em>Google<\/em>) kako bi testirali da li njihov zlonamjerni softver mo\u017ee biti otkriven. Servis <em>VirusTotal<\/em> koristi 70 antivirusnih alata poznatih proizvo\u0111a\u010da koji su dobri za brzu provjeru da li je datoteka zlonamjerna ili ne. U periodu od dvoje sedmice ovi uzorci nisu detektovani kao zlonamjerni.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"font-size: 14pt;\"><strong>Program za u\u010ditavanje<\/strong><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Novi program za u\u010ditavanje je nazvan <em>Invalid<\/em> <em>Printer<\/em> i \u010dini se da se isklju\u010divo koristi od autora <em>Aurora<\/em> kradljivca za zaobila\u017eenje sigurnosnih rje\u0161enja. Ovaj program koristi iznena\u0111uju\u0107e jednostavnu tehniku za izbjegavanje detekcije, tako \u0161to vr\u0161i provjeru <em>ID<\/em> proizvo\u0111a\u010da grafi\u010dke kartice prisutne u ure\u0111aju. Dobijena informacija se onda upore\u0111uje sa listom podr\u017eanih grafi\u010dkih kartica proizvo\u0111a\u010da <em>NVIDIA<\/em>, <em>AMD<\/em> i <em>Intel<\/em>, a ako se <em>ID<\/em> ne nalazi na podr\u017eanoj listi, program se sam gasi.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Svrha ove provjere je da se odredi da li se zlonamjerni softver pokre\u0107e u virtualnoj ma\u0161ini ili u izolovanom okru\u017eenju. Ako provjera nije otkrila virtualnu ma\u0161inu ili u izolovano okru\u017eenje program za u\u010ditavanje de\u0161ifruje kona\u010dni <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">aktivni dio virusa<\/a> u manje dijelove i ubaci u aktivni proces \u201c<em>sihost.exe<\/em>\u201d. Ovo omogu\u0107ava da se prili\u010dno uspje\u0161no izbjegavaju sigurnosni mehanizmi, posebno ako se pokrene na odre\u0111enim sistemskim konfiguracijama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su otkrili da napada\u010di koriste odre\u0111eni panel za pra\u0107enje svoji napada i tako su do\u0161li do podatka od 27.146 jedinstvenih \u017ertvi, od kojih je 585 preuzelo zlonamjerni softver u zadnjih 49 dana.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span style=\"font-size: 14pt;\"><strong>Za\u0161tita<\/strong><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Kako bi korisnici izbjegli infekciju reklamnim softverom, najbolja opcija je izbjegavanje sumnjivih Internet stranica i krekovanog softvera. To su vijek bili izvori za \u0161irenje zlonamjernog softvera, jer napada\u010di uvijek ne\u0161to dodaju umjesto uz ono \u0161to je obe\u0107ano.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Korisnici bi trebalo da koriste provjereno <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusno rije\u0161enje<\/a>. Ovakvi napredni napadi na korisnike su prili\u010dno te\u0161ki za otkrivanje i uklanjanje, pa se korisnicima savjetuje upotreba kvalitetnog i kompleksnog sigurnosnog rje\u0161enja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span style=\"font-size: 14pt;\"><strong>Zaklju\u010dak<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di se sla\u017eu da napada\u010di koji stoje iza ove kampanje te\u017ee da stvore zlonamjerni softver koji je veoma te\u0161ko otkriti i da stalno svoje nove verzije testiraju na <em>VirusTotal<\/em> servisu kako bi bili sigurni da ne\u0107e biti otkriveni, \u0161to mo\u017ee biti ozbiljan problem za korisnike i ozbiljan izazov za proizvo\u0111a\u010de sigurnosnih rje\u0161enja.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Primije\u0107ena je distribucija Aurora kradljivca kroz simulaciju Windows a\u017euriranja u Internet pregleda\u010du u kampanji zlonamjernog ogla\u0161avanja. Aurora kradljivac je napisan u programskom jeziku Go, poznat jo\u0161 kao Golang, otvorenog koda razvijen od strane kompanije&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":4809,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[370,148,371,93,341,143],"class_list":["post-4806","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-aurora","tag-infostealer","tag-loader","tag-malware","tag-payload","tag-windows"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4806","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4806"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4806\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4809"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4806"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4806"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4806"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}