עלייתם של הרובוטים החברתיים

עלייתם של הרובוטים החברתיים

This post is also available in: enEnglish (אנגלית)

 

msft-mmpcכותבי תוכנות זדוניות ומפיציהן הולכים בעקבות הכסף. כשלוקחים בחשבון את הפופולאריות הגוברת של אתרי אינטרנט חברתיים, זה לא צריך להפתיע שהתוכנה הזדונית ממשיכה לקיים נוכחות באזור זה.

​כל שנה אנו מקדישים חלק גדול יותר מהזמן שלנו בעיסוק מקוון ברשתות חברתיות כגון פייסבוק, טוויטר ויוטיוב. מה משמעות הדבר מבחינת שרשרת המזון של התוכנות הזדוניות?

כותבי התוכנות הזדוניות ומפיציהן יודעים כי הרשתות החברתיות לא רק מקשרות בין אנשים, אלא גם משרות צורה מסוימת של אמון בסיסי. יש יותר סיכוי שתתן אמון ב-URL  או קובץ ווידאו או קישור המשותף לך ולחבר.

i-HLS Israel Homeland Security

אנו רואים יותר ויותר מקרים בהם תוכנות זדוניות גונבות סיסמאות, מפיצות ומעלות קישורים זדוניים באמצעות רשתות חברתיות. כותבים רבים של תוכנות זדוניות משתמשים בדפדפנים (אינטרנט אקספלורר, כרום, פיירפוקס או ספארי) ליירוט ומניפולציה של נתונים במקור, כדי להימנע מעיסוק בפרוטוקול בטוח (כמו HTTP) מהרגע שהנתונים יוצאים מהמערכת של המשתמש.

סוג אחד כזה של תוכנה זדונית שנתקלתי בו לאחרונה נתגלה כ- Trojan:AutoIt/Kilim.A, Kilim  תוקף באופן ספציפי את דפדפן כרום של גוגל.

הסוס הטרויאני יכול להיות מותקן כאשר משתמש בלתי חושד מקיש על היפר-קישור מקוצר המפנה אותו לאתר תוכנה זדונית. אתר האינטרנט מתחזה לאתר הורדות לתוכנה חוקית, ומפתה את המשתמש להוריד ולהתקין את Kilim.

לאחר התקנה מוצלחת, Kilim  מנטרל את בקרות חשבון המשתמש (UAC) ומוסיף רשומת auto-start ב-system registry כדי לשרוד הפעלה מחדש (reboot). הוא ממשיך אז להוריד שתי הרחבות זדוניות לדפדפן כרום. אנוט מגלים את הסקריפטים הזדוניים הללו בהרחבות כ- Trojan:JS/Kilim.A.

Kilim  משתמש גם בטריקים הבאים כדי להסתיר את ההרחבות המותקנות :

  1. אם אתה מקיש על תפריט About בדפדפן הכרום, ואז בוחר Settings, תילקח ל- google.com במקום לעמוד ההגדרות.
  2. אם תקיש “chrome://extensions/”, זה יפנה אותך ל-“https://chrome.google.com/webstore” במקום להציג לך את ההגדרות הפנימיות. הדבר נועד למנוע ממך לראות את עמוד רשימת ההרחבות המותקנות.

משמעות הדבר היא כי לעולם לא תוכלן לראות, או לבצע uninstall, להרחבות הזדוניות.

ברגע שהותקנו ההרחבות הזדוניות, Kilim יכול לזכות בגישה לאתרי הרשתות החברתיים שלך, כגון:

  • Facebook.com
  • Twitter.com
  • YouTube.com
  • Ask.fm
  • Vk.com

בפעם הבאה שאתה נכנס לאחד האתרים האלו תוך שימוש בכרום, אתה עשוי להעלות הודעות, "לאהוב" דפים באינטרנט, לעקוב אחרי פרופילים ולשלוח הודעות ישירות בטוויטר, או לשלוחו הערות על קבצי ווידאו ביוטיוב. זה יכול להמשיך לעשות זאת כל זמן שה-session cookie של אתר האינטרנט שעבר הזדהות הינו פעיל – כלומר, עד שאתה מבצע log out.

הנה דוגמה של הודעה שהתוכנה הזדונית מעלה כהודעה ישירה בטוויטר בתורכית.

  • "Selam  bir site buldumgünlük 250 takipçiveriyor. Sen de denemelisin:)"

זה מתורגם ל:

  • מצאתי אתר שנותן 250 עוקבים כל יום. גם אתה צריך :)"
  • "I found a site that gives a daily 250 followers. You should too:)"

צילום המסך הבא מראה תוך דקות את הדפים "האהובים" בפרופיל פייסבוק במחשב נגוע. כל הדפים הללו אהובים על ידי התוכנה הזדונית, לא על ידי המשתמש:

Caption 1

איור 1: דפים "אהובים" על ידי Trojan:AutoIt/Kilim.A

צילום המסך הבא מציג עוקבים בלתי מוכרים של הדף שהתווספו אוטומטית בעזרת Kilim:

Caption 2

 איור 2: עוקבים בלתי מוכרים של דף הפייסבוק שנוספו אוטומטית על ידי  Trojan:AutoIt/Kilim.A

גם פוסטים של שני עוקבים בלתי ידועים הופיעו בהזנת החדשות (newsfeed ( של המשתמש:

Caption 3

איור 3: פוסטים של Newsfeed שהוספו על ידי Trojan:AutoIt/Kilim.A על דף הפייסבוק של משתמש שנפגע.

עשויים לתהות, איזו תועלת כל זה מביא למחבר או מפיץ התוכנה הזדונית?

נראה ש-Kilim מוכר עוקבי טוויטר תצורת תשלום. יש גם אפשרות ש-kilim יכול להרחיב את הפונקציונאליות שלו לעשות יותר – אולי גניבה של מידע רגיש כגון סימאות או אפילו הפצה של תוכנה זדונית אחרת תמורת תשלום ולקבל תשלום בתעריפי per-click-through בדומה למודל pay-per-install.

ל-Kilim  יש יכולת להתרחב ולעדכן את עצמו בכל פעם שהוא מלחבר חזרה לשרת, כשהוא מקבל קוד JavaScript ומבצע אותו בהקשר של הדפדפן.

אפילו כשהסרת את kilim, שאריות מסוימות של הההרחבות הזדוניות עשויות עדיין להישאר. באיור 4, ההרחבה “Kalkiyormu?” היא שארית של הדבקת Kilim, כמו גם  “Flash Player 5”. שים לב שכרום מגיע עם תמיכת Flash מובנית, כך שכל הרחבה המשמשת בשם זה צריכה לעורר חשד באופן מיידי.

ב- Trojan:JS/Kilim.A description  יש הוראות להסרת הרחבות דפדפן אלו באופן ידני.

Caption 4

איור 4: שאריות של הדבקת  Trojan:AutoIt/Kilim.A נשארים כהרחבות דפדפן

המדיה החברתית מייצגת דרך מהירה ועתירת ממון להפצת התוכנה הזדונית. שלבו זאת עם האוכלוסיה המקוונת הגדלה ואני צופה שנראה בעתיד יותר ויותר רובוטים תוכנה חברתיים כאלו.

כמו תמיד, העצה הטובה ביותר היא לשמור על תוכנת האבטחה שלכם מעודכנת ולהיזהר כשרוצים להקליק על קישורים בלתי ידועים – אפילו אם הם מופיעים ברשת החברתית שאתם סומכים עליה.

KarthikSelvaraj
MMPC


למידע נוסף


הרשמה לניוזלטר