SIKKERHET

Hittil ukjent skadevare funnet: Bruker PC-en din til å skjule andre ondsinnede programmer

5. aug. 2019 - 08:07

Blant andre nettstedene ZDNet og Forbes rapporterer nå om en ny type skadevare med ganske spesielle egenskaper. Skadevaren har fått navnet SystemBC og ble først oppdaget av sikkerhetsselskapet Proofpoint.

SystemBC, som Proofpoint sier tilhører en skadevaretype som hittil ikke er blitt rapportert, har den uvanlige egenskapen at den ikke selv brukes til angrep, men snarere legger til rette for angrep fra andre ondsinnede programmer.

Lager «tunnel» på PC-en

Programvaren fungerer ved å opprette en proxyserver på offerets PC med SOCKS5-protokollen.

Serverne brukes som en «tunnel» for å skjule trafikken fra andre ondsinnede programmer, komme rundt brannmurer og til å koble til «command and control»-serverne uten å eksponere IP-adressen.

SystemBC distribueres ifølge Proofpoint i «exploit kit»-pakker, som er web-baserte systemer som bruker nettlesere til å plante skadevare på PC-er eller omdirigerer brukere til nettsider som lurer brukere til å installere skadevaren.

Selges til andre skadevare-aktører

I dette tilfellet skal det være de såkalte Fallout- og RIG-sårbarhetene som utnyttes. Disse er blant flere sikkerhetshull i x86-prosessorarkitekturen som har blitt oppdaget i kjølvannet av de berømte Spectre- og Meltdown-sårbarhetene, og er knyttet til spekulativ kjøring.

Sikkerhetsselskapet sier at SystemBC tilbys for salg på undergrunnsmarkeder på Internett til aktører som står bak annen skadevare. Programvaren skal være særlig velegnet til bruk sammen med banktrojanere som for eksempel DanaBot-trojaneren som Proofpoint meldte om i fjor. 

– Synergien mellom SystemBC som en ondsinnet proxy og mainstream-skadevare representerer nye utfordringer for sikkerhetsaktører som baserer seg på nettverkskant-deteksjon i forebyggingen av trusler som banktrojanere, skriver Proofpoint.

Selskapet anbefaler organisasjoner å holde Windows-servere- og klienter og øvrig infrastruktur oppdatert, og å pensjonere eldre systemer som bruker sårbar nettleserprogramvare som Adobe Flash Player. 

Mer informasjon om SystemBC finner du hos Proofpoint.

Les også: Snart kan du gjenopprette Windows 10 fra skyen »

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.