G Data araştırmacıları şunu ortaya çıkardı: Java kötü amaçlı yazılımı parolaları kopyalar ve ayrıca RDP aracılığıyla uzaktan kontrol sağlar.
Java'da geliştirilen yeni keşfedilen bir kötü amaçlı yazılım, erişim verilerini kopyalayabilir, kurbanın bilgisayarını uzaktan kontrol edebilir ve diğer komutları yürütebilir. Entegre fidye yazılımı bileşeni henüz tam olarak işlevsel değil.
G DATA CyberDefense analistleri, Java'da geliştirilen yeni kötü amaçlı yazılımlara karşı uyarıda bulunuyor. Kötü amaçlı yazılım bir sistemde etkinse, suçlular tarayıcılardan ve e-posta programlarından parolaları okuyabilir. Ek olarak, kötü amaçlı yazılımın uzaktan erişim özelliği (RAT) olduğu için, bir saldırgan virüs bulaşmış sistemin kontrolünü uzaktan ele geçirebilir. Bunun için Uzak Masaüstü Protokolü (RDP) kullanılır - “rdpwrap” aracının (https://github.com/stascorp/rdpwrap) arka planda indirilir. Değiştirilen sürümde gizli RDP erişimi mümkündür.
Ek olarak, kötü amaçlı yazılımın - şu anda hala - temel bir fidye yazılımı bileşeni vardır. Ancak şu ana kadar burada herhangi bir şifreleme yapılmadı, yalnızca dosyaların yeniden adlandırılması sağlandı. Kötü amaçlı yazılım genellikle sürekli olarak geliştirildiğinden, bu durum gelecekteki sürümlerde değişebilir.
Beklenmeyen: yeni Java kötü amaçlı yazılımı
G DATA Virüs Analisti Karsten Hahn, "Mevcut kötü amaçlı yazılım olağandışı, uzun süredir herhangi bir yeni Java kötü amaçlı yazılımı görmedik" diyor. "Analiz ettiğimiz kötü amaçlı yazılımla, şimdiden müşterilerimize bulaşma girişimleri görüyoruz."
Mevcut bulaşma yolu ile, kötü amaçlı yazılım Java olmadan çalışamaz. Yazılımı yazanın deney yaptığı varsayılabilir. Ancak, Java kötü amaçlı yazılımı bulaşmadan hemen önce Java Runtime Environment'ı indirip yükleyen bir özellik zaten var. Bilgisayarda Java Runtime Environment (JRE) sürümü yüklü olan herkes enfeksiyona karşı savunmasızdır.
RDP erişimi, suçluların şirket ağlarındaki sistemlere erişmesi için geleneksel olarak popüler bir araçtır. Şirketler ise bakım işleri ve bazen de uzaktan çalışma için RDP erişimini kullanır. Bu nedenle, kurumsal bir ağ içinde herhangi bir anormalliği hemen fark edebilmek için RDP trafiğini yakından takip etmeye özen gösterilmelidir. Daha fazla teknik detay ve grafik bulunabilir İngilizce Techblog makalesinde analistimiz Karsten Hahn.
GData.de'de bununla ilgili daha fazla bilgi