Witajcie w kolejnym Centrum Bezpieczeństwa Xopero. GravityRAT nie jest już tylko zagrożeniem skupionym na ekosystemie Windows. Ostatnie analizy próbek pokazały, że malware jest w stanie wyrządzać szkody także użytkownikom urządzeń z systemem Android i macOS. Co to oznacza dla specjalistów od cyberbezpieczeństwa? Zanim odpowiemy na to pytanie… Badacze namierzyli poważną podatność 0-day w Google Chrome. Więcej przeczytacie poniżej.
1. Chrome 0-day pod ostrzałem – zaktualizuj swoją przeglądarkę
Uwaga! Jeśli używasz przeglądarki Google Chrome na komputerach z systemem Windows, Mac lub Linux – natychmiast ją zaktualizuj!
Google udostępniło wersję 86.0.4240.111, która łata kilka poważnych błędów w zabezpieczeniach. Chodzi tu przede wszystkim o lukę typu zero-day (CVE-2020-15999), która jest już wykorzystywana w bieżących atakach prowadzących do przejęcia urządzeń.
CVE-2020-15999 to rodzaj błędu pamięci (ang. memory-corruption) we Freetype – popularnej bibliotece programistycznej typu open-source służącej do obsługi fontów i domyślnie dostarczanej z Chrome.
Specjalista z Project Zero, jednego z wewnętrznych zespołów Google ds. bezpieczeństwa IT, wezwał innych dostawców, którzy używają biblioteki FreeType, aby także zaktualizowali swoje oprogramowanie by uniemożliwić przestępcom przeniesienie ataków na inne aplikacje.
Błąd załatany jest bowiem w wersji FreeType 2.10.4, wydanej w minionym tygodniu.
Jak najszybciej zaktualizuj swoją przeglądarkę: otwórz Chrome, przejdź do Menu -> Pomoc -> Google Chrome – informacje.
Rekordowy atak DDoS zatrzymany
To nie koniec problemów – rekordowy atak zatrzymany. Google ujawnił potężną (prawdopodobnie największą) kampanię DDoS autorstwa chińskich przestępców. DDoS o przepustowości 2,5 Tb/s uderzył we wrześniu 2017 r., ale został upubliczniony dopiero 16 października. „Pomimo jednoczesnego uderzenia w tysiące naszych adresów IP, atak nie miał żadnego wpływu. Atakujący użył kilku sieci do sfałszowania 167 Mpps (milionów pakietów na sekundę) do 180 tys. ujawnionych serwerów CLDAP, DNS i SMTP, które następnie wysłały do nas obszerne odpowiedzi ”- wyjaśniają specjaliści z zespołu bezpieczeństwa Google.
2. Malware GravityRAT po raz kolejny pokazuje zęby – teraz atakuje również urządzenia Android oraz macOS
GravityRAT to rodzina malware znana z faktu, że weryfikuje temperaturę CPU komputera aby uniknąć uruchomienia na maszynie wirtualnej lub w sandbox. Do tej pory zagrożenie było kojarzone głównie z urządzeniami Windows. Jednak obecnie przestępcy poszerzyli jego możliwości i GravityRAT stał się również niebezpieczny dla urządzeń z systemem Android oraz macOS.
Malware jest dystrybuowany za pomocą klonów „legalnych” aplikacji, które pełnią w rzeczywistości rolę downloadera dla GravityRAT payload. Przestępcy posługują się również podpisem cyfrowym, którego wprowadzenie z całą pewnością zwielokrotniło liczbę infekcji.
Co mają z tego przestępcy?
Spreparowana aplikacja jest w stanie wykraść z urządzenia listy kontaktów, wiadomości e-mail oraz dokumenty. Spyware wyciąga również interesujące atakujących informacje o samym systemie. GravityRAT:
- skanuje dyski urządzenia oraz dyski zewnętrze w poszukiwaniu plików z rozszerzeniami .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp, i .ods,
- sporządza listę aktywnych procesów,
- rejestruje naciśnięcia klawiszy klawiatury,
- wykonuje zrzuty ekranu,
- wykonuje polecenia powłoki,
- nagrywa rozmów użytkowników,
- a także, skanuje dostępne porty.
3. Malware Vizom podszywa się pod aplikacje streamujące video aby przejąć Twoje konto bankowe
Malware Vizom podszywa się pod popularne aplikacje do streamingu wideokonferencji i by za pomocą ataku bazującego na nakładkach, przejmować dostęp do bankowości online swoich ofiar.
Badacze z IBM odkryli, że złośliwe oprogramowanie wykorzystuje interesujące taktyki unikania wykrycia. Chodzi o wspomnianą już wcześniej metodę na „nakładkę” (technika overley) oraz przejmowanie bibliotek DLL.
W momencie gdy zagrożenie znajdzie się na podatnym urządzeniu Windows, Vizom w pierwszej kolejności uderza w lokalizację AppData i to stąd infekcja rozprzestrzenia się na kolejne elementy systemu. Wykorzystując hijacking DLL, szkodliwe oprogramowanie będzie próbowało wymusić ładowanie złośliwych bibliotek DLL, nazywając swoje własne wersje oparte na Delphi nazwami kojarzonymi z programami pod które się podszywa. System operacyjny następnie ładuje Vizom jako proces-dziecko powiązany z realnym plikiem rozwiązania do prowadzenia wideokonferencje. Biblioteka DLL nosi nazwę Cmmlib.dll i jest to plik powiązany z programem Zoom. Więcej o problemach Zoom przeczytacie we wcześniejszych wydaniach Prasówki.
Aby upewnić się, że złośliwy kod jest wykonywany bezpośrednio z „Cmmlib.dll”, atakujący skopiowali prawdziwą listę eksportową legalnego pliku DLL.
W następnym kroku dropper uruchamia zTscoder.exe za pomocą wiersza poleceń, oraz kolejny payloads – tym razem jest to Remote Access Trojan (RAT). Aby zapewnić sobie „nienaruszalność” Vizom manipuluje skrótami przeglądarki i bez względu na to, którą z nich próbuje uruchomić użytkownik, złośliwy kod będzie zawsze działał w tle. A co dzieje się dalej? Złośliwe oprogramowanie oczekuje na moment, kiedy użytkownik podejmie próbę zalogowania się do bankowości internetowej. Jeśli strona logowania (lub strona banku) znajduje się na liści celów przestępców, operatorzy 0trzymują powiadomienie i nawiązują zdalne połączenie z zaatakowanym komputerem. Jaki jest tego finał, można się domyśleć…
Na ten moment przestępcy testują nową kampanię na terytorium Ameryki Południowej – w szczególności w Brazylii.
4. Grupa ransomware bawi się w Robin Hooda i przekazuje 20 tys. dol. na cele charytatywne
Gang cyberprzestępców Darkside wysłał 20 tys. dolarów na rzecz organizacji charytatywnych w ramach akcji „Robin Hood”. Według ekspertów to nic innego jak chęć zwrócenia na siebie uwagi i zyskania rozgłosu.
Grupa Darkside wyróżnia się nie innowacjami technicznymi, ale atakami na korporacje. Najnowszym pomysłem jest jednak potężna darowizna w wysokości 20 000 dolarów, które grupa przekazała za pomocą skradzionych Bitcoinów dwóm organizacjom charytatywnym – The Water Project i Children International. Następnie ogłosiła akcję w komunikacie prasowym umieszczonym na dark forum.
Zabiera bogatym, oddaje biednym… – Cyber-Robin Hood?
Darkside poświęcił sporo czasu na próbę wypracowania sobie pozycji altruistycznego, cyfrowego Robin Hooda. „Jak powiedzieliśmy w komunikacie prasowym – naszym celem są tylko duże, dochodowe korporacje” – napisała grupa – „Uważamy, że to sprawiedliwe, aby część pieniędzy, które zapłaciły, przeznaczyć na cele charytatywne. Bez względu na to, jak źle myślisz o naszej pracy, cieszymy się, że pomogliśmy zmienić czyjeś życie ”.
Digital Shadows śledzi Darkside od czasu pojawienia się grupy w sierpniu zeszłego roku. Taktyka gangu jest zgodna z typowymi wzorcami ataków ransomware. Wyjątkiem są wybierane przez nich cele. Grupa próbuje się wyróżnić, przysięgając, że nie będzie atakować organizacji, takich jak szkoły, szpitale czy rządy, ale skupiać się na dochodowych firmach. Do każdego ataku wykorzystuje dostosowane oprogramowanie szyfrujące.
Ransomware wykonuje polecenie PowerShell, które usuwa kopie woluminów w tle w systemie. Następnie DarkSide przystępuje do zamykania różnych baz danych, aplikacji i poczty, aby przygotować się do szyfrowania. Później do firmy wysyłane są spersonalizowane noty okupu zawierające szczegółowe informacje na temat rodzaju skradzionych danych, ilości oraz link do strony, na której zostaną opublikowane dane, jeżeli żądanie okupu nie zostanie spełnione.
Według ekspertów „darowizna” DarkSide to tylko próba publicznego polepszenia wizerunku. Gdyby operatorom oprogramowania ransomware naprawdę zależało na tym, aby uczynić świat lepszym miejscem, przestaliby atakować ofiary (zwłaszcza szpitale i laboratoria), a nie przekazywali darowizny, których organizacje charytatywne nie chcą nawet przyjąć.
Pamiętaj, że jednym z najskuteczniejszych sposobów ochrony przed ransomware jest program do backupu. A jeżeli chcesz dowiedzieć się więcej o atakach szyfrujących, zachęcamy do pobrania raportu Ransomware i Cyberbezpieczeństwo, w którym przybliżamy historię ataków, statystyki, rodzaje i sposoby na bezpieczeństwo danych.