Firmie Emisoft udało się „rozbroić” ransomware PwndLocker. Przynajmniej tymczasowo… Specjaliści opracowali dekryptor, który jest w stanie odszyfrować „utracone” dane. W tym tygodniu także: numer na wygasły certyfikat, Linux zagrożony przez 17-letnią podatność. Dodatkowo: rejestracja domeny lookalike, NetSupport Manager RAT oraz 670 domen Microsoft, które już do Microsoft nie należą i mogą wpaść w niepowołane ręce.
1. „Certyfikat stracił ważność” – uwaga na fałszywe powiadomienia!
Przestępcy testują nową taktykę wstrzykiwania malware. Straszą użytkowników fałszywymi powiadomieniami o wygasłym certyfikacie. Oczywiście informacja posiada bardzo duży i dobrze widoczny przycisk z dopiskiem – Recommended.
Już na pierwszy rzut oka widać, że atakujący liczą raczej na nieświadomych użytkowników, którzy nie będą widzieć czym jest certyfikat i że to nie oni odpowiadają za jego utrzymanie.
Specjaliści z Kaspersky Lab natrafili na tę nietypową kampanię po raz pierwszy 16 stycznia br. Powiadomienia są dostarczane poprzez element iframe, który ładuje zawartość z zewnętrznego źródła. Wiarygodności kampanii dodaje fakt, że w pasku URL jest widoczny adres przejętej witryny.
Użytkownicy, którzy dadzą się podejść i klikną w przycisk “Install (Recommended)” zainfekują swoje urządzenie malware. Na ten moment atakujący wykorzystują trojana Buerak oraz backdoor’a Mokes. W kolejnym tygodniach zapewne w cyberprzestępczym portfolio zadebiutują kolejne zagrożenia.
Brzmi znajomo? Oczywiście, obecna kampania czerpie z dobrze znanych wzorców. Wtyczka Flash? Nieaktualne Google Chrome? Akcja z nieaktualnym certyfikatem przynosi jednak pewien powiew świeżości – dlatego warto zachować czujność i przestrzec mniej doświadczonych użytkowników…
2. PwndLocker Ransomware został „Pwned” – na rynku jest dostępny dekryptor
Ofiary ransomware PwndLocker mogą od teraz odszyfrować swoje dane z pomocą dekryptora napisanego przez firmę Emisoft.
Na celowniku PwndLocker znalazły się m.in. duże firmy oraz samorządy. Dlaczego właśnie one? Przestępcy obrali sobie za cel rozbudowane infrastruktury. Haracz za dane oscylował w granicach 175-660 tys. dolarów amerykańskich. Wysokość była uzależniona oczywiście od wielkości firmowej sieci.
Wśród ofiar PwndLocker znalazły się m.in. Lasalle County w stanie Illinois (50 BTC, co daje w przybliżeniu 442 tys. USD) oraz miasto Nowy Sad w Serbii, gdzie przestępcy zaszyfrowali ponad 50 TB danych!
Błąd w kodzie PwndLocker
Fabian Woser z Emisoft analizując kod malware, doszukał się w nim podatności… Dzięki temu dotychczasowe ofiary są w stanie odzyskać zaszyfrowane dane bez konieczności płacenia przestępcom. Niestety niezbędny do tego jest plik .exe, który zainicjował atak. Problem w tym, że w końcowej fazie szyfrowania danych ransomware wykasowuje swoje pliki – w tym instalator. Ofiary są jednak w stanie odzyskać plik executable z pomocą Shadow Explorer lub innego narzędzia do odzyskiwania plików. Ofiary powinny sprawdzić zawartość następujących lokalizacji: %Temp%, C:\User folders oraz %Appdata%.
3. Większość dystrybucji Linux zagrożona 17-letnią podatnością w PPP Daemon
PPP Daemon (pppd) stanowi składnik prawie wszystkich dystrybucji systemu Linux. Oprogramowanie jest implementacją protokołu Point-to-Point (PPP), używanego do ustanawiania internetowych połączeń za pośrednictwem modemów telefonicznych, połączeń DSL oraz wielu innych rozwiązań typu point-to-point links.
Podatność CVE-2020-8597 dotyczy przepełnienia bufora stosu. Wynika z błędu logicznego w parserze pakietów Extensible Authentication Protocol (EAP) oprogramowania pppd. Luka może zostać wykorzystana przez atakujących do zdalnego wykonywania dowolnego kodu na urządzeniach pracujących pod jednym z zagrożonych z systemów. Tym samym, umożliwia stosunkowo prosto przejąć kontrolę nad podatnym komputerem.
Luka otrzymała bardzo wysoki wynik na skali CVSS, bo aż 9,8 punktu. Problem dotyczy wersji PPP Daemon od 2.4.2 do 2.4.8. Poniżej podajemy linkowania do artykułów opisujących sposób rozwiązania problemu dla najpopularniejszych obecnie dystrybucji systemu Linux:
Debian | Ubuntu | SUSE Linux | Fedora | NetBSD | Red Hat Enterprise Linux
4. Proste jak rejestracja domeny lookalikes…
Cyberprzestępcy są w stanie zarejestrować złośliwe wersje najbardziej rozpoznawalnych domen. W jaki sposób? Dzięki Verisign i usługom IaaS, które dopuszczają określone znaki, wyglądające bardzo podobnie do łacińskich liter.
Pytanie: theguardian.com czy theguardian.com?
Atakujący mogą zarejestrować domenę lub subdomenę, której nazwa będzie wyglądać identycznie, jak nazwa oryginalnego serwisu. Do tego przestępcy mogą posłużyć się jednym z wielu dostępnych w sieci narzędzi do klonowania stron internetowych (pisaliśmy na ten temat m.in. tutaj), wykorzystać socjotechniki… i zebrać całkiem udane żniwo.
W sieci istnieje już kilkanaście homograficznych domen, które imitują rozpoznawalne podmioty finansowe, sklepy internetowe oraz firmy z listy Fortune 100. Do tego wszystkie te strony wykorzystują certyfikat HTTPS.
Matt Hamilton – który trafił na ślad tego procederu – poinformował o swoim odkryciu Verisign (które nadzoruje domeny .com i .net), Google, Amazon, Wasabi oraz DigitalOcean (IaaS provider). Miało to miejsce pod koniec 2019 r. Jak dotąd tylko Amazon oraz Versign wprowadziło (lub jest w trakcie) konieczne zmiany. Amazon zmienił zasady walidacji nazw segmentów S3, aby uniemożliwić rejestrację nazw rozpoczynających się od prefiksu punycode „xn—„. W ten sposób wykluczył korzystanie ze wszystkich znanych symboli unicode homoglyphs.
5. Hackerzy po raz kolejny sięgają po pliki Word, makra… i są ofiary
Na początku był phishing, który przy całej swojej prostocie daje zadziwiająco dobre efekty. Następnie do naszego „równania” dodajemy NetSupport – rozwiązanie po które administratorzy sięgają w celu zarządzania siecią. Jak się jednak okazuje, nie tylko oni.
Kampania o której dziś wam donosimy wystartowała w listopadzie 2019 i była jeszcze aktywna w styczniu 2020. Co ciekawe, przestępcy targetowali drukarnie oraz… przemysł filmowy.
Atak
Przestępcy rozesłali wiadomość email zawierającą złośliwy załącznik Word z krytycznymi informacjami dodatkowo zabezpieczonymi hasłem. Jednak aby je wpisać, odbiorca wiadomości był zmuszony uruchomić makra… Jeśli użytkownik dał się złapać na „makra” na urządzeniu instalował się malware. Co ciekawe, program weryfikował, czy na komputerze był zainstalowany antywirus… AVG lub Avast (i żaden inny). W kolejnym kroku następowała instalacja NetSupport Manager RAT. Na sam koniec, malware przysyłał lokalizację zainfekowanego urządzenia na adres “‘geo.netsupportsoftware[.]com”. Atak kończył się nawiązaniem stałego połączenia z urządzeniem.
Ciekawostka. Badacze uważają, że maile zostały rozesłane z przypadkowych adresów @protonmail[.]com i zawierały w tytule: Refund status lub Unauthorized credit card transactions.
6. 670 subdomen Microsoft może bez problemu trafić w ręce cyberprzestępców
Specjaliści z Vullnerability.com namierzyli ponad 670 subdomen, które wcześniej były wykorzystywane przez Microsoft – tyle, że w międzyczasie ktoś o nich zapomniał.
- identityhelp.microsoft.com
- mybrowser.microsoft.com
- web.visualstudio.com / webeditor.visualstudio.com
- data.teams.microsoft.com
- sxt.cdn.skype.com
- download.collaborate.microsoft.com
- incidentgraph.microsoft.com
- admin.recognition.microsoft.com
- oraz wiele innych.
Wszystkie adresy prezentują się bardzo wiarygodnie. Mają właściwą strukturę oraz zaufaną i rozpoznawalną markę w nazwie. Idealne rozwiązanie dla przestępców prowadzących działania skupione wokół kampanii phishingowych. Jak łatwo byłoby z ich pomocą skłonić użytkownika do instalacji wtyczki szpiegującej lub udostępnienia wrażliwych danych dla data.teams.microsoft.com z pomocą Teams App?
Przestępca na tropie… 404
Jak najprościej wyszukać osieroconą subdomenę? Można posłużyć się jednym ze skanerów dostępnych w sieci. Odpowiedź o błędzie 404 jest jednoznaczna ze znalezieniem pierwszego kandydata. Co dzieje się dalej? Prawdopodobnie przestępcy będą próbować przejąć rekord DNS. Jednak jeśli jest to niemożliwe – Microsoft – w kolejnym kroku sprawdzą czy subdomena nie była aliasem innej domeny. Oczywiście jeśli jej prawo własności wygasło, mogą ją wykupić i wykorzystać do rozprzestrzeniania malware oraz wielu innych zagrożeń.