Glupteba została zauważona po raz pierwszy w 2018 roku. Dziś po ponad 2 latach, złośliwe oprogramowanie nadal stanowi poważne zagrożenie. Dlaczego? To nie tylko malware – to także rootkit, security suppressor, wirus, narzędzie do przeprowadzania ataków na router, browser stealer oraz cryptojacker.
1. Glupteba, zagrożenie które wykorzystuje każdą znaną Ci sztuczkę
Glupteba to malware, który umożliwia prostą dystrybucję innego złośliwego oprogramowania. Jednak na tym nie koniec. Wykorzystuje ono również blockchain Bitcoina jako kanał komunikacji za pomocą którego otrzymuje informacje o aktualizacjach w konfiguracji. Bardzo sprytne.
Glupteba to typ zagrożenia, który jest lepiej znany pod nazwą zombie lub bot (robot programowy). Backdoor zapewnia przestępcom pełny dostęp do zainfekowanego komputera działającego pod systemem Windows. Oczywiście staje się on również kolejnym z ogniw szybko/sprawnie rozwijanego botneta.
Atakujący wykorzystują kilka interesujących metod, dzięki którym Glupteba pozostaje niezauważona. Malware jest dystrybuowany za pośrednictwem pirackiego oprogramowania. Przestępcy wykorzystują głównie scrackowane wersje popularnych aplikacji, jednak badacze natrafili również na spreparowane instalatory gier wideo.
W jaki sposób przestępcy unikają wykrycia przez programy antywirusowe? Szkodliwe oprogramowanie jest stopniowo wpuszczane/wstrzykiwane do wnętrza. Malware wykorzystuje również podatność EternalBlue – z jej pomocą dużo sprawniej rozprzestrzeniają się po firmowej sieci.
Glupteba wykorzystuje kilka exploitów do eskalacji uprawnień. W ten sposób zostają zainstalowane sterowniki kernela, które bot używa jako rootkit. Za ich sprawą malware znacznie obniża / osłabia stan zabezpieczeń na zainfekowanym hoście. Rootkit sprawia, że zachowanie systemu plików jest niewidoczne dla użytkownika komputera, zabezpiecza także pliki które Glupteba przechowuje w katalogu aplikacji. Dodatkowo specjalny proces (watcher process) monitoruje rootkita oraz inne komponenty w poszukiwaniu oznak awarii lub błędów. Jeśli na nie natrafi może albo ponownie uruchomić sterownik rootkita albo zrestartować wadliwy komponent. Atakujący starannie ukryli również komunikację z serwerami C&C. Wykorzystali do tego blockchain – informacje są wysyłane jako zaszyfrowane dane powiązane z transakcjami w ramach łańcucha Bitcoin.
Ciekawostka. Fakt, że operatorzy Glupteba regularnie naprawiają błędy i łatają „podatności”, wskazuje na to, że mamy do czynienia z tzw. malware-delivery-as-a-service provider.
Jak nie paść ofiarą Glupteba? Jeśli ktoś jest do tyłu z łataniem podatności… to jest to najwyższa pora aby wgrać wszystkie krytyczne aktualizacje zabezpieczeń. Za szczególnie priorytetowe należy uznać załatanie EternalBlue, które aktywnie wykorzystują atakujący. Co jeszcze? Scrackowane aplikacje – nie należy pobierać i instalować apliakcji pochodzących z nieznanych źródeł. Nie mówiąc już o tym, że pobieranie pirackich wersji programów jest nielegalne.
2. Hakerzy kradną dane kart kredytowych z pomocą… Google Analytics
Hakerzy wykorzystują nie tylko Google Analytics ale również serwery Google do kradzieży informacji o kartach kredytowych przesłanych przez klientów e-commerce.
Nowa taktyka, która opiera się na wykorzystywaniu API Google Analytics pozwala sprawnie oszukać/ominąć standard Content Security Policy (CSP). Atakujący wykorzystują fakt, że wiele sklepów internetowych korzystających z usługi Google Analytics dodaje ją do tzw. białej listy domen w konfiguracji CSP.
Luka w zabezpieczeniach CSP
Okazało się, że system reguł CSP nie jest wystarczająco szczegółowy. Atakujący wstrzykują web skimmer ze specjalnie zaprojektowanym skryptem do dekodowania skradzionych danych. Po załadowaniu skryptu, przestępcy są w stanie monitorować witrynę pod kątem wprowadzanych przez użytkowników informacji. Jeśli trafią na dane o kartach kredytowych są one szyfrowane a następnie przesyłane na dashboard Google Analytics. Tam atakujący odszyfrowują je przy użyciu klucza deszyfrującego XOR. Tak więc jedyne co muszą zrobić, to podać własny numeru identyfikacyjny konta / tagu (UA – ####### – #).
Specjaliści z Zespołu Badań Zagrożeń firmy Sansec od 17 marca monitorują inną kampanię, która przebiega jednak w bardzo podobny sposób. W jej wypadku przestępcy upewnili się, aby wszystkie komponenty wykorzystywane w czasie ataku korzystały z serwerów Google Firebase. Czy to kolejny sprytny ruch? Oczywiście. Grupa Magecart zazwyczaj korzysta z serwerów zlokalizowanych w tzw. rajach podatkowych. Administrator, który odkryje taki „podejrzany” adres serwera zareaguje w bardzo przewidywalny sposób. Ale co w sytuacji kiedy mamy do czynienia z cieszącymi się zaufaniem serwerami Google? Znikoma liczba systemów bezpieczeństwa oznaczy je jako podejrzane. Przynajmniej na ten moment.
3. Evil Corp wykorzystuje fałszywe powiadomienia o aktualizacji w nowej targetowanej kampanii
Po postawieniu zarzutów niektórym „istotnym” członkom Evil Corp, grupa rozpoczęła prace nad stworzeniem nowej taktyki. Oznaczało to ni mniej ni więcej start prac nad nowym zagrożeniem. Niedawno ujrzało ono światło dzienne.
Najnowszy ransomware o nazwie WastedLocker jest wykorzystywany w ukierunkowanych atakach na firmy. Grupa zawsze była wybiórcza pod względem infrastruktur, które szyfrowała. Przestępcy zwykle atakują serwery plików, usługi baz danych, maszyny wirtualne i środowiska chmurowe.
Aby dostarczyć nowe oprogramowanie ransomware, Evil Corp włamuje się na witryny w celu wstrzyknięcia złośliwego kodu. Jego zadaniem jest wyświetlenie fałszywych powiadomień o konieczności przeprowadzenia aktualizacji oprogramowania.
Jednym z przesyłanych podczas ataku payloads jest zestaw narzędzi pentesterskich Cobalt Strike. Przestępcy wykorzystują je do uzyskania dostępu i zainfekowanego urządzenia, a potem jeśli to możliwe – już całej sieci.
Po zakończeniu instalacji WastedLocker szyfruje wszystkie dyski na komputerze, pomijając pliki w określonych folderach lub zawierające określone rozszerzenia. Ale to nie wszystko. Pliki o rozmiarze mniejszym niż 10 bajtów są przez atakujących ignorowane. Jeśli jednak ransomware natrafi na większy plik, zostanie on zaszyfrowany w blokach po 64 MB.
Dla każdego zaszyfrowanego pliku ransomware tworzy notatkę zawierającą informacje jak skontaktować się z przestępcami w celu ustalenia wysokości okupu. Co ciekawe, WastedLocker nie wykrada danych przed ich zaszyfrowaniem. O jak wysokie stawki grają przestępcy? Według informacji do których dotarł serwis BleepingComputer, żądania okupu wahają się w granicach 500 tys. i kilku/kilkunastu milionów dolarów amerykańskich.
4. Malware z piekła rodem: Windows na celowniku Lucyfera
Eksperci ds. Bezpieczeństwa zidentyfikowali nowe złośliwe oprogramowanie nazwane Lucyfer, które uderza w niezałatane systemy Windows i propaguje się za pomocą cryptojackingu i ataków DDoS.
Lucyfer początkowo próbuje zainfekować komputery bombardując je exploitami w poszukiwaniu wyczerpującej listy niezałatanych luk w zabezpieczeniach. Choć powstały już łatki dla wszystkich tych błędów krytycznych, malware celuje w te firmy, które nie zainstalowały jeszcze aktualizacji.
Lista luk, których poszukuje Lucyfer jest dość długa i obejmuje błędy w Rejetto HTTP File Server (CVE-2014-6287), Oracle Weblogic (CVE-2017-10271), ThinkPHP RCE (CVE-2018-20062), Apache Struts (CVE-2017-9791), Laravel framework CVE-2019-9081), oraz Microsoft Windows (CVE-2017-0144, CVE-2017-0145, CVE-2017-8464).
Po udanym wykorzystaniu tych błędów, atakujący łączą się z serwerem C&C i wykonują dowolne polecenia na podatnym urządzeniu. Mogą one obejmować uruchomienie ataków typu TCP, UDP oraz HTTP DoS. Inne polecenia pozwalają im na upuszczenie cryptominera XMRig i cryptojacking oraz gromadzenie informacji o interfejsie i wysłanie statusu minera do serwera C2. Lucyfer może również propagować się różnymi metodami. Jeśli protokół SMB jest otwarty, może przykładowo wykonać kilka backdoorów – wśród nich są EternalBlue, EternalRomance i DoublePulsar.
Ten malware z piekła rodem został już wykryty w serii niedawnych ataków i wciąż jest aktywny.
Jak się ochronić? Jako, że Lucyfer żeruje na podatnych urządzeniach i niezałatanych lukach – zalecamy ich pilną aktualizację i weryfikację swojego systemu zabezpieczeń, w tym koniecznie antymalware, firewall oraz programu do backupu.