Trükkös támadás, amely észrevétlen marad
A letöltött hamis VPN valójában egy többlépcsős támadóprogram, amely elhomályosított, Base64-ben kódolt, francia szöveggel kevert kódot tartalmaz. Elindításakor a Launch.exe nevű futtatható fájl dekódolja és átalakítja a benne található adatokat, ami egy msvcp110.dll nevű fájlt ejt a géped AppData könyvtárába – itt általában észrevétlenül marad. Ez a DLL futásidőben, dinamikusan töltődik be, és a GetGameData() nevű függvény segítségével végzi el a végső támadási lépéseket. A vírus ráadásul kihasználja a Windows általános eszközeit, például az MSBuild.exe-t vagy az aspnet_regiis.exe-t, így könnyedén elkerüli a hagyományos vírusirtók figyelmét. A fejlettebb elrejtési módszerek közé tartozik a visszafejtés elleni védelem és az összetett folyamatirányítás.
Így védekezhetsz
Soha ne telepíts ismeretlen programokat, még akkor sem, ha ingyenes VPN-nek vagy játékmodnak hirdetik őket. Különösen gyanús, ha a letöltött fájl jelszóval védett ZIP-archívumban érkezik, vagy nehezen átlátható telepítési utasításokat ad. Soha ne futtass az AppData, Roaming vagy Temporary mappából semmilyen futtatható vagy DLL-fájlt, még akkor sem, ha megbízhatónak tűnik a forrás. Figyeld a futó folyamatokat, keresd az MSBuild.exe szokatlan működését vagy ismeretlen programokat a feladatkezelőben. Használj olyan MI-alapú kártevővédelmet, amely viselkedésalapú, és nemcsak aláírás alapján észlel, így a memóriába injektált, jól elrejtett vírusokat is ki tudod szűrni.
