Bulaşma Yöntemleri ve İşlevsellik
Kaspersky Lab’in analiz raporuna göre Maske, zararlı bir web sitesine bağlantılar içeren spear kimlik avı e-postaları üzerinden işliyor. Zararlı bu web sitesi, sistem yapılandırmasına bağlı olarak ziyaretçiye virüs bulaştırmak için tasarlanmış bir dizi açıklardan yararlanma kodu içeriyor. Virüs başarıyla bulaştıktan sonra zararlı web sitesi, kullanıcıyı e-postada bulunan zararsız bir web sitesine yönlendiriyor; bu bir YouTube videosu ya da bir haber portalı da olabilir.
Açıklardan yararlanmayı hedefleyen bu web sitelerinin ziyaretçilere otomatik olarak virüs bulaştırmadıklarını belirtmek gerekiyor. Bunun yerine saldırganlar, zararlı kodları web sitesinde bulunan ve zararlı e-postalar dışında hiçbir yerde doğrudan refere edilmeyen özel klasörlerde bulunduruyor. Saldırganlar bazen, zararlı web sitelerinin daha gerçek görünmelerini sağlamak için alt etki alanları kullanıyor. Bu alt etki alanları, İspanya’daki başlıca gazetelerle birlikte örneğin “The Guardian” ve “Washington Post” gibi uluslararası olanlarının da alt bölümlerini taklit ediyor.
Kötü amaçlı bu yazılım, tüm iletişim kanallarına müdahale ediyor ve bulaşmanın olduğu sistemde bulunan en önemli bilgileri topluyor. Gizli rootkit yetenekleri nedeniyle Maske’nin algılanması son derece zor. Careto, son derece modüler bir sistem olup, çok sayıda fonksiyonu gerçekleştirmesini sağlayan eklentileri ve yapılandırma dosyalarını destekliyor. Yerleşik işlevlerinin yanı sıra Careto operatörleri, kötü amaçlı herhangi bir görevi gerçekleştirebilecek ek modüller yükleyebiliyor. Kaspersky Lab ürünleri, Maske/Careto zararlı yazılımının bilinen tüm versiyonlarını algılar ve ortadan kaldırır.