2015. 06. 09. – 06:02
forrás: hirado.hu

A fertőzés úgy kezdődik, hogy egy felhasználó kap egy levelet melléklettel együtt, amelyet Microsoft Office Word fájlként (.doc) álcáznak.
A „Grabit” vesztesei leginkább Thaiföldön, Indiában és az Egyesült Államokban működő cégek a Kaspersky szerint. Ezen kívül az Egyesült Arab Emirségek, Németország, Izrael, Kanada, Franciaország, Ausztria, Sri Lanka, Chile és Belgium érintettek még az ügyben.

“Sok, kémkedés céljából indított kampánnyal találkozunk, amelyek vállalatokra, kormányzati szervezetekre és más ismert intézményekre fókuszálnak, ezzel szemben a kis- és középvállalkozások ritkán állnak a figyelem középpontjában. A “Grabit” bebizonyítja, hogy nem csak a “nagy hal” elve érvényesülhet: a kibervilágban minden egyes szervezet, függetlenül attól, hogy rendelkezik-e pénzzel, információkkal vagy politikai befolyással, lehetséges célponttá válhat egy vagy akár több rosszindulatú szereplő számára is.

A “Grabit” jelenleg is aktív, éppen ezért rendkívül fontos, hogy ellenőrizzék a hálózatukat a megfelelő védelem érdekében. Május 15-én egy egyszerű Grabit keyloggert azonosítottak, amely több ezer felhasználói fiók adatait tárolta, több mint száz fertőzött rendszerből. Ezt a veszélyt nem szabad lebecsülni.”- mondja Ido Noar, a Global Research & Analysis Team vezető biztonsági kutatója.

Jelszók, levelek, bankszámlák vesznek el

A fertőzés akkor kezdődik, amikor egy cég felhasználója kap egy e-mailt melléklettel együtt, amelyet Microsoft Office Word fájlként (.doc) álcáznak. Amint a felhasználó rákattint, hogy letöltse, az kémprogrammal fertőzi meg a számítógépet egy távoli, feltört szerverről. A támadók az áldozatokat a HawkEye keylogger – ez a HawkEye Products kémkedésre használt, kereskedelemben kapható terméke – és egy konfigurációs modul segítségével felügyelik, amely egy sor távoli felügyeleti eszközt tartalmaz.

A művelet nagyságát mutatják a Kaspersky Lab által közölt adatok, melyek szerint csupán az egyik parancs és vezérlő szerver keyloggere 2887 jelszót, 1053 e-mailt és 3023 felhasználónevet lopott el 4928 különböző számítógépről, többek között az Outlookból, a Facebookból, a Skype-ból, a Google mailből, a Pinterestből, a Yahoo-ból, a LinkedIn-ből és a Twitterből, valamint bankszámla számokat is megszerzett.

Internetes bűnözők vegyes csoportja

A Grabit szereplő nem tesz nagy erőfeszítéseket tevékenysége elfedésére: egyes rosszindulatú minták ugyanazokat a gazdakiszolgálókat használják, ugyanazokkal a bejelentkezési adatokkal, gyengítve ezzel saját védelmüket. Ugyanakkor a támadók hatékony technikákat használnak, hogy az elemzők szeme elől kódjaikat elrejtsék. Ez vezette a Kaspersky Labet ahhoz a következtetéshez, hogy a lehallgatási tevékenység mögött egy vegyes csoport áll, amelynek egyes tagjai jobban ügyelnek arra, hogy észrevétlenek maradjanak, mint a többiek. Szakértői elemzések szerint bárki is programozta a malware-t, annak csak egyes részeit írta teljes egészében ő.

A Grabit elleni védelemhez a Kaspersky az alábbi szabályok betartását javasolja:

• A Windows System Configurations nem tartalmazhatja a “grabit1.exe” fájlt az indítási táblázatban. Futtassa az “msconfig” programot és bizonyosodjon meg róla, hogy gépe mentes a grabit1.exe rekordoktól.
• Ne nyissa meg a mellékleteket és hivatkozásokat, ha ismeretlen feladótól érkezik. Ha nem tudja megnyitni, ne továbbítsa másoknak – hívja segítségért a rendszergazdát.
• Használjon korszerű vírusirtó rendszert, és mindig kövesse az AV feladatok listáját gyanús eseteknél.