Witajcie w ostatnim kwietniowym przeglądzie newsów IT. W sieci zadebiutowały kody CS:GO i Team Fortress 2. Valve uspokaja graczy, jednak największe serwisy zawiesiły działanie swoich serwerów i czekają na szczegółowe wyjaśnienia. Więcej na ten temat przeczytacie poniżej. W tym tygodniu także Banker.BR, czyli Twój nowy trojan bankowy, kolejna kampania Trickbot i historia hackera, który… oddał 25 mln USD. A także ESET eliminuje botnet składający się z 35 tys. komputerów oraz hacker otrzymał 1,3 mln USD od trzech firm inwestorskich.
1. Banker.BR – nowy androidowy trojan, który chce sięgnąć do Twojego portfela
Nowe zagrożenie wypatrzyli specjaliści z IBM X-Force. Są oni zdania, że malware Banker.BR znajduje się nadal w fazie rozwoju. W ciągu kolejnych miesięcy należy spodziewać się nowych funkcjonalności.
Kod Banker.BR został napisany od podstaw. Nie zawiera on żadnych zapożyczeń od zagrożeń, których kod źródłowy zadebiutował już w sieci. Co ciekawe trojan został napisany w B4X. Jest to nowoczesna wersja Visual Basic, która stanowi element pakietu zintegrowanych środowisk programistycznych (IDE), używanych do tworzenia aplikacji na Androida i iOS. Jest to o tyle interesujące, ponieważ B4X jest bardzo rzadko wykorzystywany do tworzenia malware. Większość grup wybiera raczej Javę lub Kotlin, czyli dwa najpopularniejsze języki w których tworzy się aplikacje na Android.
Malware Banker.BR rozprzestrzenia się wykorzystując wiadomości, które kierują użytkowników na kontrolowane przez przestępców domeny. Jeśli użytkownik kliknie i pobierze najnowszą wersję „aplikacji bezpieczeństwa” dla swoich usług bankowych… zapoczątkuje tak naprawdę pobieranie malware.
Po zakończeniu instalacji, malware przeczesuje urządzenie w poszukiwaniu informacji – w tym numeru telefonu, międzynarodowego identyfikatora urządzenia mobilnego (IMEI), międzynarodowego identyfikatora abonenta mobilnego (IMSI) i numer seryjny karty SIM. Następnie przesyła je na serwery C&C przestępców.
Malware Banker.BR jak wiele mu podobnych korzysta z usług w ramach Android Accessibility Suite. Jest to zbiór usług ułatwień dostępu, które ułatwiają korzystanie z telefonu lub tabletu osobom z różnymi rodzajami niepełnosprawności. Trojan zdobywa więc dostęp do kontaktów, aparatu oraz wiadomości SMS ofiary. W ten sposób Banker.BR jest właśnie w stanie śledzić uruchamiane aplikacje. Gdy ofiara podejmie próbę zalogowania się do aplikacji bankowej, malware wyświetli planszę logowania i poprosi o podanie danych uwierzytelniających. Ponieważ zagrożenie posiada pełną kontrolę nad urządzeniem, jest w stanie przechwycić kody 2FA. Wtedy przestępcy mogą bez większych już problemów wyczyścić rachunek ofiary.
2. Motyw z koronawirusem, czyli nowa i skuteczna kampania Trickbot
Grupa odpowiedzialna za ataki z wykorzystaniem Trickbot wykorzystuje kryzys wywołany koronawirusem, aby nakłonić użytkowników do pobrania malware.
Trickbot rozpoczął swoje życie jako trojan bankowy. Z czasem stał się jednak jednym z najbardziej zaawansowanych i wydajnych sposobów infekowania malware na świecie. Nie tylko jest w stanie wpuszczać na przejęte komputery keyloggery, trojany oraz ransowmare. Zagrożenie stosunkowo trudno usunąć. Dodatkowo w połączeniu z podatnością EternalBlue daje hackerom prawie nieograniczone możliwości poruszania się wewnątrz zainfekowanej sieci.
W najnowszej kampanii grupa wykorzystuje jednak wiadomości phishingowe, które rzekomo pochodzą od wolontariuszy oraz organizacji humanitarnych oferujących testy na COVID-19. Więcej informacji na ten temat ofiara znajdzie w załączonym dokumencie – w rzeczywistości jest to jednak information-stealer.
Jak przy wielu innych atakach z wykorzystaniem Trickbot, makra odczekują 20 sekund nim rozpoczną pobieranie payload. Unikając w ten sposób wykrycia.
Więcej na temat cyberzagrożeń, korzystających z wybuchu pandemii koronawirusa przeczytacie tutaj, tutaj, tutaj oraz tutaj.
3. Hacker zwrócił wykradzione 25 mln dolarów, ponieważ nie ukrył swojego adresu IP
Świat kryptowalut to świat dużych pieniędzy. Atak na jedną platformę może przynieść zysk w wysokości 25 mln dolarów. Taki plan musiał mieć właśnie bohater tej historii. Jednak nie wszystko poszło po jego myśli.
Ofiara. Działająca na terytorium Chin platforma DForce została w ostatni weekend zhackowana. Łącznie z portfela przestępca wyciągnął 24,36 mln dolarów w Ethereum, Bitcoin oraz USD Stablecoin. Teraz robi się ciekawie. W ciągu dwóch kolejnych dni hacker zwrócił najpierw 2,79 mln a potem pozostałą kwotę. Czytając to możecie mieć wrażenie, że chciał zapewne w dość oryginalny sposób pokazać użytkownikom, że platforma ma poważnie problemy z bezpieczeństwem. Nic bardziej mylnego.
Podczas późniejszej wymiany części kryptowalut hacker pozostawił pod sobie istotne metadane m.in. adres IP oraz informacje o urządzeniu z którego korzystał (MAC z językiem systemowym US English). Dodatkowo serwis wymiany 1inch.exchange.com wykorzystuje sieć dostarczania zawartości (CDN), co było równie przydatne w dochodzeniu… którego finał okazał się bardzo pozytywny.
25 mln, czy 24,36 mln dolarów? To nie błąd, różnica jest wynikiem poniesienia przez hackera kosztów transakcji wymiany kryptowalut. Jednak wykradł równowartość 25 mln, więc tyle samo „musiał” oddać.
4. Wyciekł kod źródłowy CS:GO i Team Fortress 2 – Valve uspokaja
Do internetu (4chan i Torrent) trafiły kody źródłowe dwóch gier od Valve – Counter-Strike Global Offensive (CS:GO) oraz Team Fortress 2 (FT2). Szlagierowych produkcji z gatunku First-Person Shooter. Na Reddicie i Twitterze zawrzało od obaw i dyskusji nad potencjalnymi zagrożeniami.
W obu przypadkach wyciek dotyczył wersji kodu z 2017 roku (CS: GO Operacja Hydra i kod TF2 Jungle Inferno). I choć prawdopodobnie przez 3 lata zaszły w nich spore zmiany to część stałych elementów może stanowić potencjalne zagrożenie. Może pozwolić hakerom na przygotowanie programów do cheatowania i wykorzystanie exploitów prowadzących nawet do zdalnego uruchomienia kodu.
Sytuacja wydaje się o tyle poważna, że popularne w społeczności serwery TF2, takie jak Creators.TF czy Red Sun już zawiesiły działanie oczekując szczegółów odnośnie wycieku.
Valve uspokaja, że gracze nia mają powodu do obaw. W oświadczeniu powołuje się na przegląd ujawnionego kodu. Dotyczy on przebudowy kodu silnika CS:GO wydanego partnerom pod koniec 2017 roku, który rok później zaliczył już wyciek. Zaleca jedynie użytkownikom korzystanie z oficjalnych serwerów gier i zapewnia, że będzie na bieżąco informował o postępach wewnętrznego śledztwa.
Na ten moment nie wiadomo, kto stoi za wyciekiem. W kręgu podejrzanych znalazł się Tyler McVicker, twórca kanału Valve News Network znany z wielu wcześniejszych przecieków dotyczących gier amerykańskiego producenta. Kategorycznie zaprzeczył on jednak jakoby był źródłem przecieku.
To nie pierwszy tego typu przypadek w historii Valve. Z podobną sytuacją mieliśmy do czynienia w 2014 roku.
5. ESET eliminuje VictoryGate – botnet 35 tys. komputerów
ESET ogłosił usunięcie botnetu, który od 2019 roku zainfekował już ponad 35 tys. komputerów. Większość ofiar pochodzi z Ameryki Łacińskiej – 90% zlokalizowano w Peru.
Głównym celem VictoryGate, jak nazwany został botnet, było infekowanie ofiar złośliwym oprogramowaniem, które po kryjomu wykopywało kryptowalutę Monero. Według badacza, botnet był kontrolowany za pomocą serwera ukrytego za usługą No-IP dynamic DNS. Specjalistom z ESET udało się przejąć serwer C&C i skonfigurować serwer sinkhole, aby monitorować i kontrolować zainfekowane hosty.
Definicja: Sinkhole/Blackhole DNS to serwer lub segment sieci, do którego celowo skierowany jest złośliwy ruch. Jest to aktywna technika wykorzystywana do obrony przeciwko złośliwym działaniom.
Firma współpracuje teraz z członkami Shadowserver Foundation, aby powiadamiać wszystkie podłączane do sinkhole komputery. Ten notuje dziennie od 2 do 3,5 tys. komputerów pingujących serwer C&C w celu uzyskania nowych poleceń.
Do tej pory udało się odkryć jeden sposób dystrybucji VictoryGate – złośliwy napęd USB. Wydaje się, że złośliwe oprogramowanie mogło zostać potajemnie zainstalowane na skażonej partii urządzeń pamięci USB, które zostały wysłane do Peru. VictoryGate zawiera również komponent, który kopiuje infektor USB na nowe urządzenia USB podpinane do komputera i w ten sposób rozprzestrzenia się dalej.
6. Trzy firmy inwestycyjne przelały 1,3 mln dolarów na konto…hakerów
Wiele startupów miesiącami stara się o zewnętrzne finansowanie. Grupa hakerów pod nazwą Florentine Banker najwidoczniej jest zdania, że każdy milion trzeba…ukraść. W zeszłym tygodniu udało się im oszukać trzy brytyjskie firmy private equity, które przelały na ich konto…1,3 miliona dolarów. Jak? Za pomocą wysoce ukierunkowanej kampanii Business Email Compromise (BEC). Pokrzywdzeni managerowie sądzili, że zawarli umowę inwestycyjną z niektórymi startupami. Szerzej o tego typu kampaniach piszemy w Raporcie Cyberbezpieczeństwo Trendy 2020 (do pobrania tutaj).
700 tys. dol. na stałe przepadło na kontach hakerów. 500 tys. $ udało się odzyskać ponieważ firma Check Point na czas zawiadomiła o oszustwie poszkodowane firmy.
Florentine Banker jest znana z kampanii BEC. Poprzednio na ich celowniku znalazły się sektory produkcyjny, budowlany, prawny i finansowy w USA, Kanadzie, Szwajcarii, Włoszech, Niemczech i Indiach.
Jak to zrobili?
Poprzez starannie zaplanowany atak man-in-the-middle (MITM). W pierwszej fazie rozsyłali wiadomości phishingowe mające na celu przejęcie kontroli nad kontem osób w firmie oraz przeprowadzenie rozległego wywiadu. Pomogło to zrozumieć charakter działalności i kluczowe role w firmie. W kolejnej fazie stworzyli nowe reguły w skrzynce pocztowej Outlook ofiary, które przekierowywały wybrane wiadomości e-mail do innego folderu, takiego jak np. kanał RSS, który nie jest często używany.
Oprócz infiltracji konta e-mail i monitorowania wiadomości, zarejestrowano domeny łudząco przypominające strony organizacji oraz firm z którymi korespondowała ofiara, aby przeprowadzić atak MITM poprzez wysłanie wiadomości e-mail z fałszywych domen w imieniu obu stron.
Każda wiadomość e-mail wysłana przez jedną ze stron była w rzeczywistości wysyłana do atakującego, który następnie przeglądał wiadomość i decydował, czy konieczna jest edycja treści, po czym przesłał e-mail z odpowiedniej podobnej domeny do pierwotnego miejsca docelowego. Uzbrojeni w tę technikę atakujący podali następnie fałszywe informacje o koncie bankowym w celu przechwycenia przelewów i inicjowania nowych żądań finansowych.
W ostatnich latach gwałtownie wzrosła ilość ataków BEC. Najnowsze statystyki znajdziesz w raporcie Cyberbezpieczeństwo: Trendy 2020 na str. 34 (Pobierz).