סופוס: כלי התקיפה Baldr עלול לחזור בשם אחר
עמי רוחקס דומבה
| 22/08/2019
סופוס פרסמה מחקר מפורט של מעבדות סופוס המתמקד ב-Baldr – קוד זדוני הגונב מידע שהופיע לראשונה בינואר 2019. הדוח "Baldr נגד העולם" מספק מבט מעמיק אל הקוד הזדוני הפופולארי ועל מאפייני "שרשרת-ההרג" הייחודים שלו. מחקר העומק גם חושף את הפעילות שמאחורי הקוד הזדוני, כולל התנהגות עברייני הסייבר והשגיאות שלהם – גם בצד המוכר וגם בצד הקונה – אשר הובילו להיעלמותו הפתאומית מהרשת העמוקה במהלך חודש יוני.
על פי SophosLabs, האנשים שפיתחו את Baldr יצרו אותו על מנת למכור אותו לעברייני סייבר מתחילים ברשת העמוקה, ואלה החלו להשתמש בו כדי לתקוף גיימרים במחשבי PC. מאז, Baldr התקדם הרבה מעבר לפגיעה בגיימרים אל כל סוגי המשתמשים. Baldr, בדומה לסוגים רבים של קוד זדוני, משתמש ברכיבי קוד שנלקחו ממשפחות קוד זדוני אחרות. עם זאת, Baldr מורכב ממספר גדול במיוחד של רכיבי קוד זדוני אחרים, ובכך הוא מזכיר את "מפלצת פרנקשטיין" של הקוד הזדוני.
סיבה אחת שמשתמשי מחשב צריכים להיזהר מ- Baldr היא מכיוון שהוא יכול לבזוז במהירות טווח רחב של סוגי מידע מהקורבנות, כולל סיסמאות שמורות, נתוני קאש, קבצי הגדרות, עוגיות וקבצים, ומטווח רחב של אפליקציות. Baldr נעלם "מהמדפים" בחודש יוני, כנראה בעקבות ויכוח בין היוצר והמפיץ. SophosLabs צופה כי הוא יצוץ מחדש עם הזמן, כנראה בשם אחר.
"נראה בהמשך אם Baldr היה רק הבלחה קצרה, או שהוא יחזור כאיום ארוך טווח. בכל מקרה, הקיום שלו הוא תזכורת טובה לכך שאפילו רכיבי קוד שנתפרו יחדיו כדי ליצור 'מפלצת קוד זדוני דמוית פרנקשטיין' עלולים להיות יעילים מאוד לצורך פריצה פנימה, איסוף כל מה שבא ליד, וחמיקה חזרה החוצה. הדרך היחידה לעצור איומים שכאלה היא באמצעות שימוש באמצעי אבטחה בסיסיים, אבל חיוניים, אשר כוללים שימוש בתוכנת אבטחה מעודכנת", אמר אלברט זיגוביץ, חוקר איומים של SophosLabs בהונגריה.
גיימרים הופכים לקורבנות אידאליים עבור כותבי הקוד הזדוני. יותר מכך, יישומי "צ'יטים" לעיתים קרובות משתמשים בטכניקות נפוצות של קוד זדוני, כגון הזרקות DLL או הוספת והזרקת קוד אל הזכרון. הדבר יכול להוביל לא רק לחוסר יציבות של המערכת, אלא גם לפגיעה בחווית המשחק של כל מי שמעורב. "אפילו ש-Baldr אינו זמין כרגע למכירה ברשת העמוקה, עברייני סייבר שרכשו אותו בעבר עדיין יכולים לעשות בו שימוש, והוא עדיין מהווה איום. באופן כללי, גיימרים וכל משתמשי המחשב צריכים להיות זהירים ועירניים לגבי קודים זדוניים, ולנקוט בצעדים כדי להגן על המערכות שלהם עם תוכנת אבטחה כגון Sophos Home, אשר סורקת תוכנות משחק ו'צ'יטים'", אמר זיגוביץ.
כדי להתגונן מפני Baldr, מומלץ למשתמשי מחשב להיות עירניים ומודעים לפרסומות ווידאו מזויפות המבטיחות "הרבה יותר מידי". אם זה נראה טוב מידי מכדי להיות אמיתי, כנראה שזה באמת כזה. תמיד יש להשתמש באמצעי אבטחת סייבר בסיסיים ונכונים, בכל זמן ובכל המכשירים. עסקים יכולים להשתמש בפתרון אבטחה ארגוני אשר מזהה קוד זדוני, כגון Sophos Intercept X, המגן גם מפני תוכנות כופר. Sophos Home אידיאלי לסריקת מחשבי גיימינג ומחשבים משפחתיים כדי לזהות את Baldr וקוד זדוני אחר.
סופוס פרסמה מחקר מפורט של מעבדות סופוס המתמקד ב-Baldr – קוד זדוני הגונב מידע שהופיע לראשונה בינואר 2019. הדוח "Baldr נגד העולם" מספק מבט מעמיק אל הקוד הזדוני הפופולארי ועל מאפייני "שרשרת-ההרג" הייחודים שלו. מחקר העומק גם חושף את הפעילות שמאחורי הקוד הזדוני, כולל התנהגות עברייני הסייבר והשגיאות שלהם – גם בצד המוכר וגם בצד הקונה – אשר הובילו להיעלמותו הפתאומית מהרשת העמוקה במהלך חודש יוני.
על פי SophosLabs, האנשים שפיתחו את Baldr יצרו אותו על מנת למכור אותו לעברייני סייבר מתחילים ברשת העמוקה, ואלה החלו להשתמש בו כדי לתקוף גיימרים במחשבי PC. מאז, Baldr התקדם הרבה מעבר לפגיעה בגיימרים אל כל סוגי המשתמשים. Baldr, בדומה לסוגים רבים של קוד זדוני, משתמש ברכיבי קוד שנלקחו ממשפחות קוד זדוני אחרות. עם זאת, Baldr מורכב ממספר גדול במיוחד של רכיבי קוד זדוני אחרים, ובכך הוא מזכיר את "מפלצת פרנקשטיין" של הקוד הזדוני.
סיבה אחת שמשתמשי מחשב צריכים להיזהר מ- Baldr היא מכיוון שהוא יכול לבזוז במהירות טווח רחב של סוגי מידע מהקורבנות, כולל סיסמאות שמורות, נתוני קאש, קבצי הגדרות, עוגיות וקבצים, ומטווח רחב של אפליקציות. Baldr נעלם "מהמדפים" בחודש יוני, כנראה בעקבות ויכוח בין היוצר והמפיץ. SophosLabs צופה כי הוא יצוץ מחדש עם הזמן, כנראה בשם אחר.
"נראה בהמשך אם Baldr היה רק הבלחה קצרה, או שהוא יחזור כאיום ארוך טווח. בכל מקרה, הקיום שלו הוא תזכורת טובה לכך שאפילו רכיבי קוד שנתפרו יחדיו כדי ליצור 'מפלצת קוד זדוני דמוית פרנקשטיין' עלולים להיות יעילים מאוד לצורך פריצה פנימה, איסוף כל מה שבא ליד, וחמיקה חזרה החוצה. הדרך היחידה לעצור איומים שכאלה היא באמצעות שימוש באמצעי אבטחה בסיסיים, אבל חיוניים, אשר כוללים שימוש בתוכנת אבטחה מעודכנת", אמר אלברט זיגוביץ, חוקר איומים של SophosLabs בהונגריה.
גיימרים הופכים לקורבנות אידאליים עבור כותבי הקוד הזדוני. יותר מכך, יישומי "צ'יטים" לעיתים קרובות משתמשים בטכניקות נפוצות של קוד זדוני, כגון הזרקות DLL או הוספת והזרקת קוד אל הזכרון. הדבר יכול להוביל לא רק לחוסר יציבות של המערכת, אלא גם לפגיעה בחווית המשחק של כל מי שמעורב. "אפילו ש-Baldr אינו זמין כרגע למכירה ברשת העמוקה, עברייני סייבר שרכשו אותו בעבר עדיין יכולים לעשות בו שימוש, והוא עדיין מהווה איום. באופן כללי, גיימרים וכל משתמשי המחשב צריכים להיות זהירים ועירניים לגבי קודים זדוניים, ולנקוט בצעדים כדי להגן על המערכות שלהם עם תוכנת אבטחה כגון Sophos Home, אשר סורקת תוכנות משחק ו'צ'יטים'", אמר זיגוביץ.
כדי להתגונן מפני Baldr, מומלץ למשתמשי מחשב להיות עירניים ומודעים לפרסומות ווידאו מזויפות המבטיחות "הרבה יותר מידי". אם זה נראה טוב מידי מכדי להיות אמיתי, כנראה שזה באמת כזה. תמיד יש להשתמש באמצעי אבטחת סייבר בסיסיים ונכונים, בכל זמן ובכל המכשירים. עסקים יכולים להשתמש בפתרון אבטחה ארגוני אשר מזהה קוד זדוני, כגון Sophos Intercept X, המגן גם מפני תוכנות כופר. Sophos Home אידיאלי לסריקת מחשבי גיימינג ומחשבים משפחתיים כדי לזהות את Baldr וקוד זדוני אחר.
