תוכנה זדונית חדשה מתחזה למוד של המשחק רובלוקס

תוכנה זדונית חדשה מתחזה למוד של המשחק רובלוקס (Roblox) ופועלת בשיטת "סוס טרויאני".
מדובר בתוכנה זדונית מתקדמת המסוגלת לאסוף מידע רגיש מהמחשב האישי, כולל סיסמאות ומידע על ארנקי מטבעות קריפטו.
עשרות גיימרים ברחבי העולם כבר נדבקו בה, ובמאמר הבא נבצע סקירה על התוכנה הזדונית.

התוכנה הזדונית מפורסמת ברשת תחת השם "Cheat Lab",
ומחיפוש מהיר באינטרנט ניתן למצוא עשרות סרטוני YouTube, הורדות P2P, וקישורים להורדה מאתרי הורדות מפוקפקים.
התוכנה משווקת כמוד (Mod) עבור המשחק הפופולרי רובלוקס (Roblox),
ומציעה למשתמש מגוון "האקים" (Cheats) כגון "Wallhack", "Speed Hacks", "Aimbot" ועוד.

כפי שדווח השבוע בבלוג האבטחה של חברת McAfee,
Cheat Lab היא למעשה סוס טרויאני אשר מדביק את המחשב של הקורבן בתוכנה הזדונית "Redline Stealer".

כיצד הוירוס Redline Stealer פועל

התוכנה הזדונית מופצת דרך האתר GitHub, וזמינה להורדה כקובץ ZIP המכיל קובץ MSI.
הפעלת הקובץ מתקינה אותו על המערכת, ומחלצת מתוכו 3 קבצים :
compiler.exe – קובץ ההתקנה, מכיל בתוכו גם את "Redline Stealer".
readme.txt – קובץ טקסט "קרא אותי", המכיל גם פקודות זדוניות.
lua51.dll -קובץ תומך להרצת פקודות Lua עבור "compiler.exe".

במהלך ההתקנה, הקובץ MSI יוצר משימה מתוזמנת לביצוע compiler.exe עם readme.txt,
דבר המלמד כי הוירוס יותקן על המערכת באופן אוטומטי גם אם המשתמש יעצור את הליך ההתקנה מיוזמתו. (במידה והקובץ לא נמחק)

על מנת להתקין את "Cheat Lab", המשתמש צריך להפעיל את הקובץ "compiler.exe".

במהלך ההתקנה, קופצת הודעת פרסום למשתמש בסגנון "חבר מביא חבר".
על המשתמש להתקין את התוכנה במחשב של חבר יחד עם הזנת קוד אישי,
ובתמורה הוא יקבל את "הגרסה המלאה" של התוכנה.

התוכנה מציעה למשתמש להביא חבר בתמורה לגרסה המלאה. קרדיט: McAfee

בהמשך ההתקנה, נוצר קובץ בשם "ErrorHandler.cmd" במיקום C:\Windows\Setup\Scripts
קובץ זה מכיל פקודת cmd להפעלה מחדש של הקובץ compiler.exe, אך הפעם תחת השם "NzUW.exe".
בנוסף, נוצרת משימה מתוזמנת במערכת להפעלת הקובץ הנמצא במיקום C:\Windows\system32\oobe\Setup.exe

משימה מתוזמנת חדשה להפעלת ההתקנה של oobe. קרדיט: McAfee

הפעלת קובץ זה יוצרת תגובת שרשרת במערכת, אשר בסופה נוצרת תקלה המובילה להפעלת הקובץ "ErrorHandler.cmd".
סקריפט זה מופעל באופן אוטומטי ע"י מערכת ההפעלה כאשר היא חווה שגיאה קריטית.
ומאחר והקובץ המקורי הוחלף ע"י הוירוס – נוצרת פעולת שרשרת אשר מאפשרת לוירוס להתקין את עצמו מחדש ללא הפסקה.

בסיום ההתקנה, קובץ ההתקנה "compiler.exe" מריץ פקודות קוד "byte Lua" המאוחסנות בקובץ "readme.txt".
בנוסף, נוצרות משימות מתוזמנות שמתבצעות במהלך אתחול המערכת.

לאחר התקנת התוכנה "Cheat Lab" ע"י המשתמש, מותקנת גם "Redline Stealer" באופן אוטומטי על המערכת הפעלה.
התוכנה הזדונית משתמשת בפקודות bytecode [Lua bytecode] בכדי להתחמק מזיהוי.

בסיום ההתקנה של Redline Stealer, קובץ ההתקנה "compiler.exe" מריץ פקודות קוד "byte Lua" המאוחסנות בקובץ "readme.txt".

כאשר התוכנה מותקנת ומתחילה להיות פעילה ברקע מערכת ההפעלה, היא יוצרת חיבור עם שרת "C2".
התוכנה שולחת אל השרת צילומי מסך של חלונות פעילים, ומידע על המערכת של המשתמש.
בנוסף, התוכנה מבצעת סריקה במחשב אחר סיסמאות ומידע על ארנקי מטבעות קריפטו.

איך מוחקים את Redline Stealer מהמחשב ?

על מנת להיות בטוחים כי התוכנה אכן הוסרה מהמערכת ב 100% נבצע הליך סריקה והסרה באמצעות 2 תוכנות שונות.

שלב א' – איתור ע"י אנטי וירוס

במידה ויש לכם תוכנת אנטי וירוס על המחשב, בצעו עדכון גרסה לתוכנה והריצו סריקת מערכת מלאה.
אם לא נמצאו קבצים נגועים, או שאין לכם תוכנת אנטי וירוס, ההמלצה היא להוריד את התוכנה "Malwarebytes".

בצעו סריקה למערכת ההפעלה באמצעות Malwarebytes, בסיום הסריקה במידה ונמצאו קבצים, בצעו להם "הסגר" (quarantine).

שלב ב' – איתור ע"י AdwCleaner

AdwCleaner הוא כלי חינמי אשר פותח ומופץ ע"י חברת Malwarebytes.
הכלי מאפשר איתור והסרה של תוכנות ריגול ותוכנות זדוניות מהמחשב.

לחצו כאן להורדת התוכנה מאתר הבית של חברת Malwarebytes.

הריצו את התוכנה, ובמידה ונמצאו קבצים הסירו אותם ובצעו הפעלה מחדש למחשב.