חוקרי אבטחה חשפו טכניקה חדשה להתחמקות מגילוי נוזקות

חוקרי אבטחה גילו טכניקה חדשה המשולבת בתוכנות זדוניות, אשר מערימה על המשתמשים ועל חוקרי אבטחה, תוך שהיא מנצלת את העובדה שהמשתמשים מקליקים כמה פעמים על העכבר. פעולה זו, על פי החוקרים, גורמת להדבקה בתוכנה הזדונית.

חוקרי פייראיי (FireEye), המיוצגת בארץ על ידי אינוקום (InnoCom) מקבוצת אמן, אמרו כי הטכניקה החדשה של מפתחי הנוזקות, המתעתעת בחוקרים, היא הסתמכות על סוגים קודמים של תוכנות זדוניות הנמנעות מגילוי על ידי הסתתרות בתהליכים של מערכת ההפעלה חלונות (Windows). הנוזקה החדשה, המכונה BaneChant, היא סוס טרויאני, שלדברי חוקרי פייראיי כבר נעשה בה שימוש במתקפות פישינג ממוקדות במזרח התיכון. לדברי צ'ונג רונג הווא, חוקר של פייראיי, לנוזקה יש יכולות מובנות משמעותיות.

החוקרים גילו כי התוכנה החמקנית הופעלה בעבר על ידי לחיצת קליק עכבר אחד בלבד, ולכן אז הנוזקה היתה קלה לגילוי והימנעות מהידבקות. "כיום", כתב החוקר, "הנוזקה החדשה, בניגוד לקודמותיה, היא רק מעטפת וניתנת לגילוי רק ברמת הקוד".

ברגע שהתוכנה הזדונית מדביקה את המחשב, ציין החוקר, מערכת ההפעלה נכנסת למצב "שינה", ומחכה לחיבור לאינטרנט. כאשר מבוצע חיבור שכזה, הנוזקה מופעלת ויוצרת קשר מרחוק עם המפעילים שלה, תוך שהיא מצליחה לדלג מעל מערכות אנטי וירוס ומערכות מניעת חדירה, תוך שימוש בשירות קיצור כתובות לגיטימי – Ow.ly, והפנייה לשרת הנמצא בשליטת פושעים קיברנטיים. ייחודה של הנוזקה, ציין החוקר, הוא בכך שהיא מחכה לכל הפחות לשלוש לחיצות עכבר שמאליות לפני שהיא ממשיכה לשלב השני והחשוב ביותר – הדבקה בתוכנה הזדונית שלה, המוסתרת בקובץ תמונה. כאשר פעולה זו נעשית, היא מקבלת גישה מלאה למחשב של הקורבן, לרבות היכולת להסיר את עצמה ולמחוק את קיומה מהמערכת הנגועה.