Malver ThirdEye se ne smatra sofisticiranim, ali se informacije koje on prikuplja sa zaraženih Windows-a mogu iskoristiti kao odskočna daska za buduće napade

 

Primjećen je novi malver, koji su iz kompanije Fortinet nazvali ThirdEye i za koji kažu da je dizajniran za krađu različitih informacija sa zaraženih Windows sistema.

Sistemske informacije dobijene od kompromitovanih mašina, uključujući detalje o BIOS-u i hardveru, mogu da koriste sajber kriminalci u različite zlonamjerne svrhe. Analizom ovih informacija mogu da identifikuju ranjivosti ili slabosti u sistemu, koje se mogu iskoristiti za neovlašćeni pristup ili dalje kompromitovanje.

Na primjer, poznavanje hardvera i verzije BIOS-a može im pomoći da ciljaju određene eksploatacije ili osmisle sofisticirane napade. Ukratko, sajber kriminalci mogu da iskoriste dobijene informacije za planiranje ciljanih napada, dobijanje neovlašćenog pristupa, krađu identiteta ili omogućavanje drugih zlonamjernih aktivnosti.

 

Kako djeluje?

 

Malver je pronađen u zip fajlu sa ruskim nazivom „Tabelь učeta rabočego vremeni.zip“, koji sadrži dva fajla sa esktenzijom .exe. Jedan od fajlova takođe ima ruski naziv – „CMK Pravila oformleniя bolьničnыh listov.pdf.exe“.

ThirdEye se širi kroz ZIP datoteku koja sadrži dvije izvršne (.exe) datoteke prerušene u obične dokumente (PDF dokumenti) korišćenjem dodatnih ekstenzija datoteka. ZIP datoteka koja sadrži zlonamjerni softver ThirdEye može se distribuirati na različite načine, uključujući priloge e-pošte, zlonamjerne web stranice, mreže za razmjenu datoteka ili prerušena u legitimna preuzimanja softvera.

Sajber-kriminalci mogu koristiti tehnike društvenog inženjeringa, kao što su phishing e-poruke ili obmanjujuće web stranice, kako bi prevarili korisnike da preuzmu i otvore sadržaj ZIP datoteke, nesvjesno inficirajući njihov sistem zlonamjernim softverom.

Kada prikupi informacije malver šalje na servere za komandu i kontolu (C2).

 

Kad je otkriven?

 

Prvi uzorak malvera ThirdEye postavljen je na VirusTotal 4. aprila ove godine.

Analiza uzoraka je pokazala da je najstarija varijanta malvera, otkrivena u aprilu 2023. godine, prikupila relativno ograničene informacije u poređenju sa novijim uzorcima. To ukazuje na to da je malver evoluirao i da sada ima dodatne mogućnosti za prikupljanje podataka.

Iako ne postoje konkretni dokazi da se ThirdEye koristi u napadima, oprez je neophodan jer je malver dizajniran za prikupljanje informacija koje su dragocjene za razumijevanje i odabir potencijalnih meta.

Očigledno je da oni koji stoje iza malvera ulažu napore da ga poboljšaju, tako da noviji uzorci prikupljaju više informacija o sistemu u poređenju sa starijim varijantama.

 

Kako ukloniti malver?

 

Ako smatrate da je vaš računar već zaražen, preporučujemo da pokrenete skeniranje pomoću Combo Cleaner Antivirus za Windows kako biste automatski eliminisali infiltrirani malver ThirdEye.

Ručno uklanjanje zlonamjernog softvera ( u ovom slučaju ThirdEye malvera) je komplikovan zadatak – obično je najbolje dopustiti antivirusnim ili anti-malware programima da to rade automatski.

Ako želite ručno ukloniti zlonamjerni softver, prvi korak je identifikovanje naziva zlonamjernog softvera koji pokušavate da uklonite.

Ako ste provjerili listu programa koji se pokreću na vašem računaru, na primjer, pomoću menadžera zadataka (Task menager), i identifikovali program koji izgleda sumnjivo, trebali biste nastaviti sa ovim koracima:

1. Preuzmite program pod nazivom Autoruns. Ovaj program prikazuje lokacije aplikacija za automatsko pokretanje, registra i sistema datoteka.

2. Ponovo pokrenite računar u Safe Mode.

Korisnici Windowsa 7 pokrenite računar u bezbjednom režimu. Kliknite Start, kliknite Shut Down, kliknite Restart, kliknite OK. Tokom procesa pokretanja računara, pritisnite taster F8 na tastaturi više puta dok ne vidite meni Windows Advanced Option, a zatim sa liste izaberite Bezbjedni režim sa umrežavanjem.

Video koji pokazuje kako pokrenuti Windows 7 u „Safe Mode with Networking“:

Korisnici Windowsa 8 pokrenite Windows 8 je bezbjedni režim sa umrežavanjem – Idite na Windows 8 početni ekran, otkucajte Napredno, u rezultatima pretrage izaberite Podešavanja. Kliknite Napredne opcije pokretanja, u otvorenom prozoru Opšte postavke računara odaberite Napredno pokretanje.

Kliknite na dugme „Restart now„. Vaš računar će se sada ponovo pokrenuti u meniju naprednih opcija pokretanja. Kliknite na dugme Rješavanje problema, a zatim kliknite na dugme Napredne opcije. Na ekranu naprednih opcija kliknite na Postavke pokretanja.

Kliknite na dugme Restart. Vaš računar će se ponovo pokrenuti na ekranu „Startup Settings„. Pritisnite F5 da se pokrenete u bezbjednom režimu sa umrežavanjem.

Video koji pokazuje kako pokrenuti Windows 8 u „Safe Mode with Networking“:

Korisnici Windowsa 10 kliknite na Windows logotip i izaberite ikonu za napajanje („Power icon“). U otvorenom meniju kliknite na „Restart“ dok držite dugme „Shift“ na tastaturi. U prozoru odaberite opciju kliknite na Rješavanje problema, zatim odaberite Napredne opcije.

U meniju naprednih opcija odaberite Postavke pokretanja i kliknite na dugme Ponovo pokreni. U sljedećem prozoru treba da kliknete na dugme F5 na tastaturi. Ovo će ponovo pokrenuti vaš operativni sistem u sigurnom načinu rada s umrežavanjem.

Video koji pokazuje kako pokrenuti Windows 10 u „Safe Mode with Networking“:

3. Raspakujte preuzetu arhivu i pokrenite datoteku Autoruns.exe.

4. U aplikaciji Autoruns kliknite na Opcije na vrhu i poništite izbor opcija Sakrij prazne lokacije i Sakrij Windows unose. Nakon ove procedure, kliknite na ikonu Osvježi.

5. Provjerite listu koju daje aplikacija Autoruns i pronađite datoteku zlonamjernog softvera koju želite ukloniti.

Trebalo bi da zapišete njegovu punu putanju i ime. Imajte na umu da neki zlonamjerni softver skriva imena procesa pod legitimnim nazivima Windows procesa. U ovoj fazi, vrlo je važno izbjeći uklanjanje sistemskih datoteka. Nakon što locirate sumnjivi program koji želite da uklonite, kliknite desnim tasterom miša preko njegovog imena i odaberite Izbriši.

Nakon uklanjanja zlonamjernog softvera putem aplikacije Autoruns (ovo osigurava da se zlonamjerni softver neće automatski pokrenuti pri sljedećem pokretanju sistema), trebali biste potražiti naziv zlonamjernog softvera na svom računaru. Obavezno omogućite skrivene datoteke i mape prije nego što nastavite. Ako pronađete naziv datoteke zlonamjernog softvera, obavezno ga uklonite.

Ponovo pokrenite računar u normalnom režimu. Slijedeći ove korake trebalo bi ukloniti sve zlonamjerne softvere sa vašeg računara. Imajte na umu da ručno uklanjanje prijetnji zahtijeva napredne kompjuterske vještine. Ako nemate ove vještine, prepustite uklanjanje zlonamjernog softvera antivirusnim i anti-malware programima.

(IT mixer)