Witajcie w Centrum Bezpieczeństwa Xopero! Żyjemy doprawdy w przedziwnym świecie… W sieci zadebiutował właśnie nowy malware, który blokuje ofiarom dostęp do stron z torrentami i innych witryn z piracką zawartością. Co ciekawe, nic nie wskazuje na to, że mamy do czynienia z jakąś operacją antypiracką – generalnie specjaliści nie mają pojęcia, o co właściwie chodzi. Ofiary powinny więc być przygotowane na jakieś przyszłe ataki lub oszustwa. Ta informacja otwiera dzisiejszy przegląd, ale co jeszcze dla was przygotował nasz zespół? Grupa REvil znów staje się bardziej aktywna – tym razem ransomware uderzył w amerykańskiego dostawcę broni jądrowej. Pojawiła się również nowa kampania SolarMarker, która wykorzystuje SEO poisoning do infekowania celów za pomocą RAT. Ostatni news dotyczy złośliwych modpacków Minecrafta, które trafiły do sklepu Google Play. Gotowi na więcej? W takim razie zapraszamy do lektury tekstu poniżej.
Malware blokuje odwiedzanie pirackich stron internetowych. O co tu chodzi?
Badacze z Sophos odkryli nowe złośliwe oprogramowanie zaprojektowane głównie w celu… uniemożliwienia ofiarom odwiedzania pirackich stron. Twierdzą, że to jeden z najdziwniejszych przypadków od dłuższego czasu…
Malware ukryty jest w pirackich kopiach różnego oprogramowania, w tym produktów security, i dystrybuowany w usłudze czatu Discord oraz poprzez Bittorent. Wykonuje się po dwukrotnym kliknięciu i wyświetla fałszywy komunikat o błędzie na ekranie ofiary. Najwyraźniej blokuje zainfekowanym użytkownikom odwiedzanie dużej ilości pirackich witryn, modyfikując plik HOSTS w ich systemach. Pobiera również i wykonuje drugi payload – plik wykonywalny o nazwie „ProcessHacker.jpg”.
Ostateczny cel twórcy tego złośliwego oprogramowania nadal pozostaje tajemnicą. Ktoś ma jakieś pomysły? „Na pierwszy rzut oka cele i narzędzia autora sugerują, że może to być jakaś prymitywnie skompilowana antypiracka operacja. Jednak ogromna skala potencjalnej grupy docelowej atakującego – od graczy po biznes – w połączeniu z ciekawą mieszanką przestarzałych i nowych narzędzi, technik i procedur (TTP) oraz dziwaczną listą stron internetowych zablokowanych przez złośliwe oprogramowanie sprawia, że ostateczny cel tej operacji wydaje się trochę mroczny” – twierdzi Andrew Brandt, badacz Sophos.
Malware ograniczony do blokowania pirackich witryn jest bowiem zbyt piękny, aby mógł być prawdziwy. “Ofiary” powinny więc przygotować się na nadchodzące ryzyko. Mamy nadzieję, że nikomu nie musimy przypominać o unikaniu pobierania pirackiego oprogramowania i posiadania solidnych zabezpieczeń.
Amerykański kontraktor od broni jądrowej ofiarą REvil ransomware
Sol Oriens LLC – firma konsultingowa zajmująca się zarządzaniem zaawansowanymi technologiami dla branży wojskowej i kosmicznej padła ofiarą ataku z rąk operatorów REvil ransomware. Przestępcy wystawili już na aukcję dane skradzione podczas ataku.
W minionym tygodniu na aukcję trafiły pakiety danych różnych firm, które zaatakował REvil. Jedną z nich była właśnie Sol Oriens. Operatorzy ransomware twierdzą, że wykradli dane biznesowe oraz dane pracowników, w tym informacje o wynagrodzeniach i numery ubezpieczenia społecznego.
Jako dowód opublikowali zdjęcia dokumentu z informacjami o zatrudnieniu, dokumenty płacowe i raporty.
Firma potwierdziła atak na swoją sieć w maju 2021 r. Podczas śledztwa ustalono, że nieupoważniona osoba pozyskała pewne dokumenty z firmowych systemów.
Według oświadczeń Sol Oriens nic nie wskazuje na to, że incydent ten naruszył niejawne lub krytyczne informacje związane z bezpieczeństwem klientów. Firma zobowiązuje się do powiadomienia osób i podmiotów, których dotknęło zagrożenie.
Ten atak pokazuje, że gangi ransomware nie mają ograniczeń i skrupułów. Nie chcemy nawet wyobrażać sobie, co by się stało, gdyby tajne informacje o technologii nuklearnej i know-how trafiły w ręce cyberprzestępców.
SEO poisoning wykorzystywane jako backdoor dla malware SolarMarker
Nowo obserwowana seria ataków wykorzystuje technikę SEO poisoning do rozprzestrzeniania nowego zagrożenia RAT. Szkodliwe oprogramowanie dostarczane w tej kampanii to SolarMarker, .NET RAT który uruchamia się w pamięci urządzenia i służy głównie do wgrywania dodatkowych payloads. Głównie, ale oczywiście nie tylko. Malware SolarMarker jest również w stanie wykradać poufne informacje. Choćby dane uwierzytelniające z przeglądarek internetowych.
Zebrane dane są przesyłane na jeden z serwerów Command&Control, które jak ustalono znajdują się na obszarze Rosji (część serwerów C&C została już wyłączona). Program posiada także rozwiązania które mają mu zapewnić trwałą obecność na zainfekowanym urządzeniu. Malware dodaje się m.in. do folderu Autostart i modyfikując skróty na pulpicie ofiary.
Złośliwe dokumenty i kluczowe frazy SEO
W kwietniu opisaliśmy wam dokładnie przebieg pierwszej fali ataku SolarMarker. Wtedy badacze eSentire zaobserwowali, że cyberprzestępcy stojący za malware dosłownie zalali wyniki wyszukiwania ponad 100 tys. stron internetowych. Interesowały ich frazy powiązane w wyszukiwaniem formularzy wykorzystywanych w biurach – szablony faktur, umów itp. Kto z nas choć raz nie szukał takiego gotowca. Chyba prawie każdy. Widać, więc że przestępcy wybrali ciekawą strategię. Nawet konwersja na poziomie 1-2% mogła okazać się żyłą złota.
W nowszych atakach – wykrytych przez Microsoft – przestępcy skupili się na sektorze finansowym i edukacji oraz zaczęli hostować swoje „witryny” na AWS i Strikingly.
Jak wygląda ten przekręt w praktyce?
Atakujący używają tysięcy dokumentów PDF wypełnionych słowami kluczowymi i linkami, które rozpoczynają łańcuch przekierowań. Ich ciąg wieńczy oczywiście pobranie malware. Zatrzymajmy się na chwile na SEO poisoning. Cyberprzestępcy przygotowali dokumenty liczące ponad 10 stron, nafaszerowane słowami kluczowymi. Tematyka jest bardzo szeroka od „formularza ubezpieczenia” i „akceptacji umowy” po „join w SQL” i „odpowiedzi matematyka”.
Ofiara, która weszła w tak złośliwie spreparowanych plik, została poproszona o pobranie kolejnego dokumentu PDF lub DOC zawierającego poszukiwane informacje. Ale zamiast uzyskać dostęp do interesującej ją informacji, czekało ją jednak przekierowywanie przez sporą liczbę witryn wykorzystujących domeny TLD takie jak .site, .tk i .ga, i finalnie na klona strony Dysku Google gdzie czekał na nią malware SolarMaker.
Modpacki Minecraft z paskudnym pakietem malware dostępne w Google Play
Grywasz w Minecraft? Może Twoje dzieci uwielbiają tę grę i teoretycznie mogą stanowić łatwy cel dla przestępców? Jeśli tak, zalecamy zachowanie ostrożności i sprawdzenie, czy aplikacja, wtyczka lub jeden z modów do gry, jest realnie tym za co się podaje… Tak by potem nie mieć niemiłej niespodzianki.
Minecraft to jedna z najbardziej popularnych gier z wyjątkowo dużym i oddanym community. Nic więc dziwnego, że nieustannie przyciąga uwagę cyberprzestępców. Tym razem specjaliści odkryli, że złośliwe aplikacje rozpowszechniane pod postacią modów Minecrafta oraz narzędzie do odzyskiwania plików dostępne w Google Play skrywają w rzeczywistości adware.
Adware, taka jego natura…
Adware może w praktyce uniemożliwić korzystanie z gry, a w gorszych sytuacjach nawet uziemić urządzenie na które zostanie zainstalowany. Złośliwe, niepożądane reklamy – nikt ich nie chce. Nowo wykryta wersja jest pod tym względem wyjątkowo irytująca. Program co kilka sekund otwiera przeglądarkę i wyświetla reklamę na pełnym ekranie, w konsekwencji uniemożliwiając korzystanie z urządzenia. Specjaliści zakładają również, że appka jest w stanie narazić ofiary na innego typu ataki – z dużo poważniejszymi konsekwencjami.
Świadomi użytkownicy nie biorą się znikąd. Edukujmy ludzi z zagrożeń i trików cyberprzestępców – a zaowocuje to w przyszłości mniejszą ich podatnością na tego typu ataki. Jak więc uchronić się przed przekrętem w stylu Minecraft? Zawsze warto sprawdzać reputację i recenzje aplikacji zanim je pobierzemy i zainstalujemy. W tym konkretnym przypadku wiele z wystawionych w Google Play aplikacji posiadało tylko jedną gwiazdkę – co już powinno jasno dać do zrozumienia, że albo mamy do czynienia z produktem niskiej jakości… albo oszustwem, które pociągnie naszą kieszeń i napsuje sporo krwi.
A jeśli zainstalowałeś jakąkolwiek podejrzaną aplikację, która pobiera dodatkowe subskrypcje, ważne jest, aby najpierw anulować subskrypcję w Google Play i dopiero potem zabrać się za jej odinstalowywanie.