TookBook malware
A Kaspersky kutatói azonosították, hogy a kiberbűnözők népszerű szoftverek, például az UltraViewer, AutoCAD és Ableton Live telepítőinek álcázva terjesztenek egy új, TookBook néven ismert kártevőt. A hamis telepítők valójában egy Inno Setup segítségével létrehozott, rosszindulatú kódot tartalmazó fájlok, amelyeket a Kaspersky termékei Trojan-Downloader.Win32.TookPS.* néven azonosítanak.
A felhasználók a megtévesztő weboldalakról letöltik a hamis telepítőket, amelyek elindítása után a kártevő kapcsolatba lép egy vezérlőszerverrel, hogy további parancsokat fogadjon. A vezérlőszerver által küldött parancsok gyakran egy Base64-kódolt PowerShell szkriptet tartalmaznak, amely további rosszindulatú komponenseket tölt le és hajt végre a rendszeren. A PowerShell szkript aktiválja a Windows beépített SSH szolgáltatását, és módosítja annak konfigurációját a támadók által megadott kulcsokkal, lehetővé téve a távoli hozzáférést a fertőzött géphez.
A malware engedélyezi és konfigurálja a Windows SSH szolgáltatását, hogy a támadók távolról hozzáférhessenek a rendszerhez és a PowerShell szkriptek további kompromittálására és a támadók parancsainak végrehajtására szolgálnak.
A hamis telepítők gyakran az eredeti szoftverek nevéhez hasonló elnevezéssel rendelkeznek, például UltraViewer_Setup.exe, viszont az eredeti szoftverekkel ellentétben ezek a telepítők nem rendelkeznek érvényes digitális aláírással és kapcsolatba lépnek ismeretlen vezérlőszerverekkel, amelyek gyanús hálózati tevékenységet eredményezhetnek.
