Witajcie w kolejnym zestawieniu newsów IT. Dziś na celowniku kradzież danych, grupa Magecart i router’y Level 7. Co dalej? Nowe zagrożenia czyhające na użytkowników systemów Windows. Ujawniamy także w jak prosty sposób przestępcy omijają zabezpieczenia Play Protect.
1. Kradzież danych wg Magecart – L7 i otwarte sieci wifi
Specjaliści z IBM IRIS natrafili na dowody wskazujące, że grupa Magecart opracowuje skrypt, który – wstrzyknięty router’om “Layer 7” – umożliwi kradzież danych płatniczych.
Level 7 lub L7 to rodzaj router’ów, które zwykle instaluje się do obsługi dużych sieci. Zazwyczaj można się na nie natknąć m.in. w hotelach, centrach handlowych, na lotniskach, w kasynach, urzędach i przestrzeni miejskiej. Działają w podobny sposób jak większość urządzeń tego typu z tą różnicą, że dają możliwość manipulowania ruchem na siódmej warstwie. Analizują natężenie ruchu, nie tylko w oparciu o adresy IP ale również pliki cookies, nazwy domen, typy przeglądarek itp.
Atakujący chcą posłużyć się sprzętem do wstrzykiwania złośliwego skryptu bezpośrednio do przeglądarki nic niepodejrzewającego użytkownika. Analiza kodu wykazała, że stworzono go z myślą o zdobywaniu danych płatniczych ze sklepów internetowych.
Specjaliści z zespołu IBM IRIS namierzyli w VirusTotal pięć takich skryptów. Prawdopodobnie przestępcy sprawdzali, czy opracowany przez nich kod jest wykrywany przez silniki antywirusów VT. Pliki dodano do serwisu w okolicy 11 – 14 kwietnia br. Na ten moment trudno powiedzieć, czy przestępcy przeszli z fazy planowania do ataku. Można jednak przypuszczać, że tak się stało.
Kradzież danych – jak się chronić
Atak Magecart jest przeprowadzany na poziomie router’a, więc użytkownik ma niewielkie pole do działania. Eksperci doradzają, aby unikać zakupów online będąc podłączonym do niezaufanej lub publicznej sieci wifi. Doradzają również korzystanie z wirtualnej karty. Jest to rodzaj e-karty płatniczej jednorazowego użytku, która wygasa po jednym użyciu. W takiej sytuacji przejęte przez hackerów dane są bezużyteczne.
2. Malware Nodersok zainfekował już tysiące komputerów z Win OS
Nowy malware pobiera i instaluje na zainfekowanych urządzeniach kopię framework’a Node.js. Przekształca sprzęt w proxy i generuje zyski z tzw. click-fraud.
Nowy Malware (Nodesok – Microsoft; Divergent – Cisco Talos) po raz pierwszy zaobserwowano latem tego roku. Rozprzestrzenia się poprzez złośliwe reklamy. Po kliknięciu w jedną z nich na komputer zostaje pobrany plik HTA (aplikacja HTML).
Uruchomienie pliku rozpoczyna wielostopniowy proces infekowania urządzenia. Malware pobiera i instaluje m.in. skrypty Excel, JavaScript i PowerShell. Każdy z pobranych komponentów odpowiada za coś innego. Moduł PowerShell wyłącza Windows Defender i Windows Update. Inny nadaje programowi uprawnienia systemowe. Mamy też do czynienia z pełnoprawnymi aplikacjami – WinDivert i Node.js. Pierwsza służy do przechwytywania pakietów sieciowych i interakcji z nimi. Druga to dobrze znane narzędzie do uruchamiania JavaScript na serwerach internetowych. Razem umożliwiają uruchomienie SOCKS proxy na zainfekowanym hoście.
Co dzieje się dalej? Tutaj specjaliści nie są zgodni. Zespół z Microsoft uważa, że malware zamienia zainfekowane hosty w serwery proxy, które następnie przekierowują złośliwy ruch. Zdaniem Cisco, proxy jest wykorzystywane do click-fraud (reklamy pay-per-click).
Na co szczególnie zwracać uwagę? Jeśli na urządzeniu znajduje się plik HTA pochodzący z nieznanego źródła – nie uruchamiać go! Każde nieoczekiwane pobieranie, to zwykle bardzo zły znak i nie ma znaczenia z jakim rozszerzeniem mamy do czynienia. Takie dane najlepiej od razu usuwać.
Do tej pory zainfekowanych zostało kilka tysięcy urządzeń, głównie z terenu Europy i Ameryki Północnej. Większość ataków miała miejsce w ciągu ostatniego miesiąca. Wszystko wskazuje na to, że malware jest nadal we wstępnej fazie rozwoju i ekspansji.
3. Outlook on the Web z kolejnymi wykluczeniami formatów załączników
Wkrótce użytkownicy webowej wersji Outlook nie będą w stanie pobierać kolejnych 38 rozszerzeń m.in. Java, PowerShell i Python. Wszystko po to by ustrzec ich przed złośliwymi skryptami, które masowo trafiają na skrzynki wraz ze SPAMem.
Java: „.jar”, „.jnlp”
Python: „.py”, „.pyc”, „.pyo”, „.pyw”, „.pyz”, „.pyzw”
PowerShell: „.ps1”, „.ps1xml”, „.ps2”, „.ps2xml”, „.psc1”, „.psc2”, „.psd1”, „.psdm1”, „.psd1”, „.psdm1”
Certyfikaty: „.cer”, „.crt”, „.der”
Pliki wykorzystywane jako exploit’y: „.appcontent-ms”, „.settingcontent-ms”, „.cnt”, „.hpj”, „.website”, „.webpnp”, „.mcf”, „.printerexport”, „.pl”, „.theme”, „.vbp”, „.xbap”, „.xll”, „.xnk”, „.msu”, „.diagcab”, „.grp”
Obecnie lista wykluczeń liczy 104 pozycje – możecie je sprawdzić tutaj.
Microsoft przewidział, że dla niektórych organizacji zwiększenie wykluczeń może być problemem. Dlatego administratorzy Office 365, Exchange Online i Exchange Server będą w stanie zarządzać listą „BlockedFileTypes” – nie tylko usuwać z niej pozycje ale również dodawać kolejne. Jak zawsze jednak zalecane jest przyjęcie jak najbardziej restrykcyjnego podejścia do kwestii zabezpieczeń (kradzież danych, szyfrowanie!). Zamiast tworzyć wykluczenia, przesyłać wspomniane pliki spakowane w archiwum ZIP. Większość firm, które współdzieli ze sobą takie zasoby i tak korzysta z profesjonalnych narzędzi do zarządzania kodem, więc zmiana proponowana przez Microsoft ich nie dotyczy.
4. Ufasz Google Play Protect? Przestępcy wiedzą jak je obejść…
Specjaliści z firmy Symantec natrafili na kilkadziesiąt złośliwych aplikacji, które są w stanie ominąć zabezpieczenia Google Play Protect.
Do tej pory zweryfikowano ponad 25 programów. Większość z nich to aplikacje modowe lub aplikacje do robienia/edycji zdjęć. Zostały opublikowane przez 22 “różnych” developerów, jednak analiza kodu wskazuje, że raczej mamy do czynienia z jednym twórcą lub grupą.
Po zakończeniu instalacji ikona aplikacji jest widoczna w menu urządzenia – przynajmniej przez pewien czas. W tle jednak od razu pobierany jest plik zdalnej konfiguracji, który umożliwia późniejsze ukrycie ikony oraz wyświetlanie reklam.
Jak ominąć Play Protect. W odróżnieniu od większości złośliwych programów, na które można natknąć się w Google Play, opisane aplikacje nie ukrywają żadnej niebezpiecznej funkcjonalności w swoim APK. Te wprowadza dopiero pobrany po instalacji skrypt. To właśnie w ten prosty sposób twórcom udało się ominąć zabezpieczenia Google. Proste? Niestety tak. Jest więc spora szansa, że w niedługim czasie w Sklepie Play zadebiutuje dużo więcej takich programów.
5. Fancy Bear APT po raz kolejny uderza w polityków
Hackerzy z grupy Fancy Bear odświeżyli swoje skrypty payloads oraz stworzyli backdoor’a w zupełnie nowym języku. Tak jak we wcześniejszych kampaniach, zaatakowali ambasady i Ministerstwa Spraw Zagranicznych z Europy Wschodniej oraz Azji Centralnej.
Fancy Bear to grupa występująca również pod nazwami APT28, Sednit, Sofacy i Strontium. Hackerzy są powiązani z szeregiem ataków o charakterze politycznym. Najbardziej znane? DNC amerykańskiej Partii Demokratycznej, Światowa Organizacja Antydopingowa, ukraińska armia, czy Międzynarodowe Stowarzyszenie Federacji Lekkoatletycznych.
Specjaliści od dłuższego czasu zakładali, że przestępcy szykują downloader napisany w nowym języku programowania – teraz już wiemy, że grupa zdecydowała się na Nim (znakomita wydajność!). Na tym nie koniec. Hackerzy byli także zajęci poprawkami w ramach downloadre’a w Golang oraz przepisali kod backdoor’a z Delphi także na Golang.
Właściwie to po co? Wygląda na to, że grupa przepisuje oryginalny kod na inne języki lub ponownie go implementuje w innych językach, mając nadzieję na uniknięcie wykrycia. Downloader napisany w Nim jest dość mały – zwłaszcza kiedy bierze się pod uwagę jego możliwości gromadzenia danych i zestawia z wcześniejszą wersją stworzoną w Golang.
Atakujący posłużyli się phishingiem. Kliknięcie w złośliwy załącznik inicjuje długi łańcuch pobierań, który finalnie kończy nowy backdoor. Załącznik odwołuje się do zdalnego szablonu wordData.dotm hostowanego na Dropbox. Otwarcie dokumentu w programie Word rozpoczyna pobieranie downloader’a, który następnie zostaje dodany do środowiska pracy dokumentu. Malware wykrada dane oraz jest w stanie wykonywać zrzuty ekranu co 35 sekund w pierwszych minutach infekcji. Backdoor dodatkowo doinstalowuje kolejne skrypty payloads.
6. Yatron i FortuneCrypt ransomware – dostępny dekryptor
Kaspersky analizując kod ransomware’a Yatron odkrył, że jego twórcy posłużyli się kodem innego programu – cryptomalware’a o nazwie Hidden Tear. Zmodyfikowali go w taki sposób, aby dodawał rozszerzenie .Yatron do zaszyfrowanych plików. Nie zweryfikowali jednak starego kodu w poszukiwaniu błędów… W ten sposób zespół Kaspersky Lab natrafił na bug’a i ostatecznie przygotować narzędzie do deszyfryzacji “przejętych” danych.
Ten sam dekryptor pomoże także ofiarom ataku FortuneCrypt. Ransomware jest o tyle ciekawy, że napisano go w Blitz BASIC. Jest to język zaprojektowany z myślą o… początkujących programistach. Nie dziwi więc, że samo zagrożenie wykorzystywało do szyfrowania danych stosunkowo słaby algorytm.
Udostępniony w zeszłym tygodniu Rakhni odszyfrowuje dane zaszyfrowane nie tylko przez ransomware Yatron i FortuneCrypt ale także Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman, (TeslaCrypt) w wersji 3 i 4, Chimera, Crysis (wersja 2 i 3), Dharma oraz nowej wersji ransomware Cryakl.
Program można pobrać ze strony Kaspersky.