Meteor Wiper Malware eltalálja az iráni vasutat
Az elmúlt években hatalmas változásokat tapasztaltunk a számítógépes bűnözők működésében. A pusztító kártevők használata helyett összetett zsarolási rendszerek vagy kiváló minőségű rosszindulatú programok kifejlesztésére összpontosítottak, amelyek ellopják az áldozat érzékeny adatait. Bár ezek a műveletek nagyon nyereségesek, vannak még fenyegető szereplők, akik a klasszikus pusztító kártevőkre támaszkodnak. Az egyik népszerű implantátum, amely ebbe a kategóriába tartozik, az úgynevezett „törlőkendők”. A ransomware -hez hasonló módon viselkednek, de van egy jelentős különbség - titkosítás helyett törlik a fájlokat. A bűnözők természetesen nem kínálnak helyreállítási lehetőséget, és nem is kérnek pénzt - céljuk, hogy a lehető legpusztítóbbak legyenek.
A Meteor Wiper Malware belép a jelenetbe
Júliusban a kiberbiztonsági szakértők azonosítottak egy új implantátumot, amely megfelel a fenti leírásnak - a Meteor Wiper Malware programot. Nagyszabású támadásban használták az iráni vasúti ügynökség ellen. Bár a „fájlok törlése” egyszerű feladatnak tűnhet, biztos lehet benne, hogy a Meteor Wiper Malware -hez hasonló fenyegetések egyáltalán nem alapvetőek. Általában hosszú feladatlistát látnak el, hogy megbizonyosodjanak arról, hogy végrehajtásuk hibátlanul megy, és az áldozatnak nem lesz ideje reagálni.
A Meteor Wiper Malware esetében úgy tűnik, hogy a támadás politikai indíttatású lehet-azonban a támadók politikai hűsége vagy eredete még nem világos. A támadás során a vasút üzenőfalát üzenetekkel spamelték, amelyekben utasították az utasokat, hogy hívjanak fel egy adott telefont további részletekért. A telefon azonban nem tartozik a vasúthoz - ha felhívná, az utasok kapcsolatba lépnének Ali Khamenei legfőbb vezető irodájával.
A Meteor Wiper Malware támadása több szakaszból áll a hibátlan végrehajtás biztosítása érdekében. A kezdeti fertőzésvektor nem világos. Futtatása után az ablaktörlő több összetevőt használ a támadás végrehajtásához:
- Setup.bat - meghamisítja a Windows csoportházirendjét, hogy lehetővé tegye a rosszindulatú futtatható fájlok másolását ugyanazon a hálózaton lévő más rendszerekre. Ezenkívül ellenőrzi a víruskereső szoftverek jelenlétét, letiltja a Windows Defendert, és ideiglenesen leválasztja a számítógépet az internetről. Ezenkívül törli a Windows eseménynaplókat, és folytatja három fájl végrehajtását.
- Env.exe vagy msapp.exe - mindkét fájl azonos rendszert szolgál, de a nevük eltér. Ezekben található az ablaktörlő összetevő, amely törli a fájlokat.
- Nti.exe - MBR szekrény, amely felülbírálja az MBR -t (Master Boot Record), hogy megakadályozza a PC -k indítását.
- Mssetup.exe - képernyőzár, amely képet és üzenetet jelenít meg az áldozatnak.
Általában a Meteor Wiper Malware által végrehajtott romboló támadásoknak üzenetet kell küldeniük. A fenyegetés szereplői azonban nem tesznek ilyesmit - nincsenek követeléseik, nem hivatkoznak motivációjukra, és sötétben hagyják az áldozatot. Még nem látjuk, hogy a Meteor Wiper Malware egy másik ügynökség vagy cég után megy -e.