Atak ransomware to nie tylko zaszyfrowanie danych. Jak pokazują przykłady z ostatniego tygodnia, obecnie stawka jest znacznie wyższa. Kradzież cennych informacji i haseł, szpiegowanie i dopiero na sam koniec wpuszczenie ransomware, aby zaszyfrować dane. W taki sposób przebiega m.in. nowa kampania udająca update Chrome, czy fałszywy Office Activation Wizard. Co jeszcze? Android zero-day, który już wcześniej został załatany oraz Reductor z którego pomocą atakujący są w stanie manipulować ruchem HTTPS.
1. Trojan, potem malware i na koniec ransomware… zamiast update’u Chrome
Przeglądasz artykuły w sieci i nagle pojawia się informacja, że ze względów bezpieczeństwa musisz zaktualizaować Chrome do najnowszej wersji? Nie klikaj, zamiast update’u przeglądarki wpuścisz na urządzenie nowego trojana bankowego.
Google nigdy nie informacje w taki sposób o aktualizacji! W tym przypadku atakujący posługują się zhackowanymi stronami do dystrybucji złośliwych skryptów. Kliknięcie w modal window rozpoczyna pobieranie aplikacji HTML (więcej nt. plików HTA przeczytasz tutaj), JavaScript lub archiwum .zip z plikiem JavaScript. Po egzekucji złośliwy skrypt zbiera informacje o urządzeniu i następnie przesyła je na serwer C&C przestępców.
W odpowiedzi serwer przesyła kolejne skrypty, których wykonanie kończy się pobraniem i zainstalowaniem na komputerze ofiary malware’a: Dridex, NetSupport Manager, AZORult, lub Chthonic. Podczas ataku przestępcy nie tylko wykradają dane, ale za pomocą Nircmd.exe wykonują dodatkowo dwa screenshot’y pulpitu, które następnie także trafiają na serwer C&C.
Na koniec – atak ransomware
Z pomocą takich narzędzi jak PowerShell Empire, Koadic, mimikatz atakujący zdobywają dane uwierzytelniające i przeczesują sieć w poszukiwaniu istotnych informacji. Atak kończy się wpuszczeniem na przejętą infrastrukturę ransomware – DoppelPaymer lub BitPaymer – i zaszyfrowaniem danych.
Oba ransomware są w stanie przejąć duże sieci. Ataki z ich użyciem zasłynęły z bardzo wysokich żądań okupu – od 80 000 do ponad 2 milionów dolarów.
2. Nowa taktyka Emotet – fałszywy Office Activation Wizard
Twórcy Emotet zmienili taktykę – teraz rozsyłają trojana pod postacią (nieprawdziwego) Activation Wizard programu Microsoft Office.
Zazwyczaj w przypadku kampanii spamerskich atakujący używają złośliwych szablonów dokumentu Word. Po uruchomieniu makr specjalny skrypt pobiera i instaluje na komputerze ofiary trojana oraz ewentualnie inne złośliwe oprogramowanie. Tym razem jednak mamy do czynienia ze skryptem który „udaje” plik instalacyjny Microsoft Office.
W momencie gdy użytkownik klika w przyciski „Enable Editing” i „Enable Content” osadzone makra uruchomią polecenie PowerShell i łączą się z witryną przejętą przez przestępców. Następnie rozpoczyna się pobieranie trojana Emotet do lokalizacji C:\Users{username}. Po pełnym zainfekowaniu urządzenia, Emotet rozsyła do kontaktów ofiary wiadomości spam oraz pobiera i instaluje dodatkowy malware.
Złośliwy łańcuszek…
Potencjalna ofiara otrzymuje więc podobnego maila od kontaktu, który dobrze zna. W niektórych przypadkach spam wygląda jak odpowiedź na wcześniejszą wiadomość (więcej o tej technice przeczytasz tutaj). Jeśli nic nie wzbudzi jej niepokoju, zapewne kliknie w załącznik i także padnie ofiarą przestępców.
3. Android zero-day – podatność kernel’a, którą już wcześniej załatano…
Google natrafił na ślady wskazujące, że niezałatana podatność systemu Android jest wykorzystywana na szeroką skalę w atakach typu zero-day.
Niezałatana… a może jednak tak. Podatność została wykryta już jakiś czas temu. W grudniu 2017 systemy w wersji 3.18, 4.14, 4.4, i 4.9 otrzymały konieczną aktualizację. Jednak teraz okazało się, że nowe wersje OS są nadal podatne na tego typu atak.
Specjaliści są zdania, że zagrożone są telefony pod kontrolą systemu Android 8.x oraz późniejsze – konkretnie chodzi o urządzenia:
- Pixel 1, Pixel 1 XL,
- Pixel 2, Pixel 2 XL,
- Huawei P20,
- Xiaomi Redmi 5A, Xiaomi Redmi Note 5,
- Xiaomi A1,
- Oppo A3,
- Moto Z3,
- telefony Oreo LG,
- Samsung S7, S8, S9.
Na szczęście nie aż tak groźna…
…głównie dlatego, że nie mamy do czynienia z remote code execution. Aby doszło do naruszenia urządzenia, użytkownik musi samodzielnie zainstalować złośliwą aplikację (przeczytaj jak przestępcy unikają wykrycia przez Google Play Protect). Atak za pośrednictwem przeglądarki wymaga wykorzystania dodatkowego exploit’a.
Partnerzy Androida (czy. producenci telefonów) zostali już poinformowani, że na Android Common Kernel jest dostępna łatka. Urządzenia Pixel 3 oraz 3a nie są podatne na atak. Smartphony Pixel 1 i 2 jeszcze w tym miesiącu otrzymają stosowną aktualizację.
4. WhatsApp – korzystasz z GIF’ów? Mogłeś zostać zhakowany
Korzystacie z GIFów na WhatsApp? Zatem…nie będzie Wam do śmiechu. Okazuje się, że te zabawne animacje mogły służyć hakerom do wykradania danych z telefonów opartych na Androidzie z uruchomioną aplikacją.
Podatność nie dotyczy samego WhatsAppa, a biblioteki open source używanej przez aplikację do przetwarzania plików multimedialnych. Błąd klasy double free (CVE-2019-11932) umożliwia wykonanie zdalnego kodu po…odebraniu przez ofiarę odpowiednio spreparowanego pliku .gif. Daje to hakerom dostęp do wszystkich funkcjonalności telefonu, do których uprawniona jest aplikacja.
Co jest w tym najbardziej niepokojące? Luka istnieje w komponencie oprogramowania, z którego prawdopodobnie korzystają także inne aplikacje. Zagrożenie nie ogranicza się więc wyłącznie do WhatsApp, ale do dowolnego programu korzystającego z podatnej biblioteki multimediów.
Prosty atak? Nie do końca. Jeżeli numer telefonu atakującego jest na liście kontaktów odbiorcy (co może nastąpić np. w wyniku inżynierii społecznej), plik GIF może zostać pobrany bez jakiejkolwiek interakcji ofiary. Następnie, gdy otworzy ona folder WhatsApp Images – exploit zostanie uruchomiony. Jeśli jednak nadawca nie widnieje w kontaktach, odbiorca musiałby zostać nakłoniony do zapisania obrazu przed uruchomieniem exploita.
Kto zagrożony? Użytkownicy WhatsApp dla Androida 8.1 i 9.0. w wersji 2.19.230 i wcześniejszych. Facebook załatał lukę w najnowszej wersji aplikacji 2.19.244. Zalecamy aktualizację oprogramowania.
5. Hakerzy korzystają z formatu OpenDocument, aby uniknąć wykrycia
Twórcy złośliwego oprogramowania zaczynają coraz powszechniej korzystać z formatów plików OpenDocument (ODT). Dlaczego? Próby łączenia się z plikami .docx, .zip czy .jar są już w znacznej mierze wykrywane i oznaczane czerwoną flagą przez programy antywirusowe, co wymusza poszukiwanie nowych sposobów na obejście zabezpieczeń.
Niektóre silniki antywirusów i sandbox’y nie obsługują odpowiednio formatu ODT, a co za tym idzie pliki mogą zostać po prostu “pominięte”. Silniki te traktują je jako standardowe archiwa i nie stosują reguł, które byłyby uwzględnione w przypadku dokumentów pakietu Office. Dzięki temu hackerom jest łatwiej przeprowadzić atak ransomware – skoro „zaufane” programy nie dostrzegają zagrożenia.
Dowody? Ostatnio wykryto liczne kampanie złośliwego oprogramowania, które wykorzystywały właśnie rozszerzenie ODT.
Przykłady. W kampanii przywoływanej przez specjalistów z Cisco Talos, osoby atakujące wykorzystały złośliwy plik ODT z OLE (Object Linking and Embedding). Służy on do osadzania lub łączenia dokumentów i udostępniania danych między aplikacjami. Następnie uruchamiany był skrypt aplikacji HTML (HTA), który pobierał zdalne narzędzie administracyjne (RAT) o nazwie NJRAT. Do przeprowadzenia ataku wystarczyło, że odbiorca złośliwej wiadomości e-mail kliknął w załącznik i otworzył dokument.
W innym przypadku, obiekt OLE spakowany w pliku ODT zapisywał “Spotify.exe”, który oczywiście nie był prawidłowym plikiem platformy Spotify. Ostatecznym “ładunkiem” tego ataku było złośliwe oprogramowanie AZORult do kradzieży informacji.
W mniejszym stopniu celem były również OpenOffice i LibreOffice. Dokument ODT został tu zaprojektowany do pobierania ładunków Metasploit.
6. Reductor manipuluje i szpieguje ruch HTTPS
Nowa odmiana złośliwego oprogramowania – Reductor – umożliwia hakerom manipulowanie ruchem HTTPS poprzez modyfikację generatora liczb losowych w przeglądarce, który służy do zapewnienia prywatnego połączenia między klientem a serwerem.
Badacze z Kaspersky twierdzą, że Reduktor jest wykorzystywany do szpiegostwa cybernetycznego wobec jednostek dyplomatycznych należących do Wspólnoty Niepodległych Państw. Wskazują również na powiązania z trojanem COMpfun, ujawnionym przez analityków z G-DATA w 2014 roku. To z kolei pozwoliło im połączyć zagrożenie z grupą Turla (znaną również jako Snake, Venomous Bear, Waterbug i Uroboros), choć przyznali, że nie można tego uznać za pewnik.
Przebieg ataku. Pierwszym z dwóch głównych wektorów tego ataku jest system zainfekowany COMpfun, który pobiera i instaluje malware. Drugi polega na ściągnięciu przez ofiarę oprogramowania z pirackich witryn. Co ciekawe, oryginalne instalatory nie zawierają złośliwego ładunku. Pojawia się on dopiero na komputerze ofiary, co oznacza to, że atakujący infekują je “w locie”.
Po zainfekowaniu, Reductor zaczyna monitoring ruchu internetowego. Autorzy zagrożenia otrzymują wszystkie dane oraz informacje o działaniach wykonywanych za pomocą przeglądarki. Co gorsza, robią to na tyle niepostrzeżenie, że ofiary nie są w stanie tego przewidzieć i rozpoznać. Według badaczy Kaspersky to pierwsze szkodliwe oprogramowanie, który w taki sposób współdziała z szyfrowaniem przeglądarki, a poziom wyrafinowania sugeruje, że stoi za nim wysoce profesjonalna organizacja.
Na razie zagrożenie ogranicza się do operacji szpiegowskich konkretnej grupy. Jeśli jednak komponenty przedostaną się na inne rodzaje złośliwego oprogramowania (atak ransomware!), może stanowić zagrożenie dla całego Internetu.