FlixOnline to nie Netflix (!)/ Niebezpieczne oferty pracy na LinkedIn / EtterSilent

Obietnica dwumiesięcznej subskrypcji Netflix Premium za darmo i zawsze znajdzie się ktoś, kto będzie chciał w ten sposób zaoszczędzić. Ale w tym przypadku jeśli mowa o jakichkolwiek zyskach, to  obłowili się tylko przestępcy. Ich celem była nie tylko aplikacji WhatsApp, ale także dane kart płatniczych ofiar. Chociaż większość naszych czytelników była prawdopodobnie wystarczająco rozważna i nie dała się złapać na fałszywy Netflix, oszustwo z FlixOnline (i jemu podobne) zadziałało na wyobraźnię wielu ludzi. W końcu, wszystko w tej kampanii miało na celu zmylenie i przekonanie ich, że naprawdę dostają darmowy Netflix. Dobra rada: nie ma łatwego sposobu, aby uzyskać Netflix za darmo .. lub HBO Go, Disney Plus lub cokolwiek innego.

Głodni wiedzy i szczegółów tej operacji? Znajdziecie je poniżej.

Darmowy Netflix? Z FlixOnline go nie otrzymasz. Zamiast tego przestępcy przejmą twoje sesje WhatsApp i dane karty

Aplikacja FlixOnline przyciągnęła użytkowników obietnicą bezpłatnej subskrypcji Netflix Premium. Jednak zamiast dwumiesięcznej finansowej wolności użytkownicy otrzymali malware, który przejął ich sesje WhatsApp i sprawnie rozprzestrzenił się w ramach sieci ich kontaktów.

Zespół Check Point Research ustalił, że szkodliwe oprogramowanie jest  stanie przechwytywać powiadomienia WhatsApp i wykonywać predefiniowane działania, takie jak Odrzuć lub Odpowiedź za pośrednictwem Menedżera powiadomień.

Po zakończeniu instalacji, FlixOnline prosi o nadanie bardzo szerokich uprawnień – czyli przestępcy wykorzystują popularny trick mający na celu kradzież danych uwierzytelniających do usług. Aplikacja prosi również o zignorowanie optymalizacji baterii (‘Battery Optimization Ignore’), co zapobiega automatycznemu wyłączaniu urządzenia w celu oszczędzenia energii. Na koniec program chce jeszcze uzyskać dostęp do komunikacji powiązanej z WhatsApp – chodzi o dostęp do powiadomień.

Kolejny krok przestępców? Wykradzenie danych logowania do konta Netflix oraz danych płatniczych. Jeśli jeszcze ktoś ma wątpliwości, atakujący są najbardziej zainteresowani numerami kart kredytowych i kart płatniczych. Jeśli ofiara je poda, po kilku sekundach dane znajdują się już na serwerze Command&Control, czyli w coraz bogatszych rękach przestępców.

Jest bezpiecznie… ale malware grasuje w najlepsze

I w tym miejscu przechodzimy do sedna problemu. Aplikacja FlixOnline była dostępna w Google Play przez okres dwóch miesięcy. W tym czasie pobrano ją około 500 razy. Co jest w zasadzie dobrą informacją. Tylko w ciągu ostatnich sześciu miesięcy odpalono kilka bardziej udanych (czyt. groźniejszych) kampanii. Jednak problem leży w tym wypadku gdzie indziej. Złośliwe oprogramowanie było w stanie ominąć system uwierzytelniania aplikacji w sklepie Google Play. W tym przypadku wbudowane zabezpieczenia Sklepu Play zawiodły całkowicie. Nasuwa się więc pytanie, ile jeszcze zagrożeń czeka na wykrycie?

Źródło

Szukasz pracy? Uważaj na idealne oferty pracy na Linkedin – to malware!

Nowa kampania typu spear-phishing na Linkedin wykorzystuje spersonalizowane oferty pracy w celu zainfekowania ofiar backdoorem o nazwie “more_eggs”.

W celu zwiększenia szans powodzenia kampanii oraz współczynnika otwieralności, złośliwe oferty – pliki archiwów ZIP – mają dokładnie taką samą nazwę jak tytuły stanowisk ofiar z ich profilu na Linkedin. Przykładowo, jeżeli ofiara pracuje jako Account Manager, złośliwy plik będzie nosił nazwę Account Manager position (słowo “position” jest dodane na końcu). Wystarczy otworzyć tajemniczą ofertę pracy, aby nieświadomie zainicjować instalację bezplikowego backdoora o nazwie more_eggs. Po załadowaniu próbuje on pobierać dodatkowe złośliwe wtyczki i zapewnia bezpośredni dostęp do komputera ofiary – twierdzą specjaliści z eSentire Threat Response Unit w swojej analizie. Ponadto backdoor ten może działać jako kanał do pobierania dodatkowych ładunków z serwera kontrolowanego przez atakujących. Takich jak trojany bankowe, ransomware, credential stealer czy zaszczepić się w sieci w celu eksfiltracji danych. 

Trojan wykorzystuje również legalne procesy systemu Windows, takie jak WMI, w celu uniknięcia wykrycia przez tradycyjne narzędzia antywirusowe.

Kampanie more_eggs o tym samym modus operandi były obserwowane od 2018 roku, a sam backdoor został przypisany do grupy Golden Chickens i dystrybuowany w modelu MaaS (Malware-as-a-Service / Malware jako usługa). Autorzy najnowszej kampanii nie są jeszcze znani – more_eggs było w przeszłości wykorzystywane przez różne grupy przestępcze, takie jak FIN6, Cobalt i EvilNum. 

Uważa się, że grupa wykorzystuje dużą liczbę zwolnień w wyniku COVID-19 do popularyzowania tej kampanii.

Źródła 12

Discord i Slack pełne malware – skan tylko jednej z sieci zaowocował wykryciem 20 tys. wirusów!

Nadużywanie aplikacji do współpracy nie jest nowym zjawiskiem. Zmiana modelu pracy wywołana przez pandemię Covid-19 doprowadziła do zwiększonego uzależnienia od platform komunikacyjnych, takich jak Discord i Slack. A tam gdzie znajdują się potencjalne ofiary, pojawią się też przestępcy. Nie jest więc niczym zaskakującym, że wspomniane platformy zostały zinfiltrowane i służą do rozprzestrzeniania cyberzagrożeń i prowadzenia kampanii.

Aktywne oprogramowanie typu RAT i stealery: Agent Tesla, AsyncRAT, Formbook i wiele innych.

Dlaczego cyberprzestępcy przenieśli się do aplikacji wspomagających współpracę

Cyberprzestępcy planując kampanie muszą rozwiązać kilka problemów – jednym z nich jest zapewnienie trwałości plików, domen lub też systemów, które odpowiadają za rozprzestrzenianie się złośliwego oprogramowania. Chodzi dokładnie o to, aby mieć gwarancję że nie zostaną one za szybko usunięte lub zablokowane. Migracja dla aplikacji takich jak Discord, czy Slack znacznie zwiększyła prawdopodobieństwo tego, że złośliwy załącznik dotrze do użytkownika końcowego. Platformy i aplikacje umożliwiające współpracę bazują na sieci dostarczania treści (CDN) do przechowywania plików udostępnianych w kanałach. Weźmy jako przykład aplikację Slack. Pliki można przesyłać (wgrywać), a użytkownicy mogą tworzyć linki zewnętrzne, które umożliwiają dostęp do zasobów, niezależnie od tego, czy odbiorca ma nawet zainstalowaną aplikację Slack. W momencie kiedy cyberzagrożenie uniknie wykrycia przez systemy monitorujące, przed przestępcami kolejne trudne zadanie. Muszą jeszcze przekonać użytkownika aby kliknął w link lub otworzył uzbrojony link plik. Kiedy taki zasób jest jednak dostępny w ramach zaufanej platformy biznesowej, zadanie staje się dużo prostsze.

Migracja pozwoliła również operatorom malware (i innych zagrożeń) dostarczyć złośliwe payload do CDN za pośrednictwem zaszyfrowanego protokołu HTTPS, i w skompresowanej formie – co dodatkowo maskuje zawartość. W ciągu ostatniego roku Tallos Intelligence Team – który przeprowadził szeroko zakrojone badania w tym zakresie – zaobserwował wiele popularnych algorytmów kompresji, w tym .ACE, .GZ, .TAR i .ZIP oraz kilka mniej popularnych typów, takich jak .LZH.

Sieci CDN są również przydatne w procesie dostarczania dodatkowych błędów i podatności w ramach tzw. taktyki wieloetapowego infekowania. Badacze odkryli, że jedno wyszukiwanie Discord CDN dało prawie 20 000 wyników w VirusTotal! Ta technika była często używana w kampaniach związanych z RATami, stealerami i innymi typami złośliwego oprogramowania zwykle używanymi do wyciągania poufnych informacji z zainfekowanych systemów.

Atakujący przekształcili również API Discord w skuteczne narzędzie do eksfiltracji danych z sieci. Komunikacja C2 jest możliwa za pośrednictwem webhooków, które oryginalnie opracowano z myślą wysyłaniu automatycznych wiadomości do określonego serwera Discord.

Jak ograniczyć zagrożenia?

Większość organizacji korzysta dziś z kilku lub też kilkunastu narzędzi komunikacyjnych. Najczęściej używane są poczta e-mail, platformy do współpracy i komunikacji, czaty, platformy konferencyjne (Zoom, Go to Webinar i Go to Meeting itp.) a także… stare, dobre sms-y. W niektórych przypadkach użytkownicy komunikują się z różnymi lub czasami tymi samymi osobami na wielu platformach. Jest to nie tylko męczące, ale i skutkuje mniejszą świadomością możliwych czynników ryzyka lub wektorów ataku.

Co w tej sytuacji doradzają specjaliści? Mark Kedgley, CTO w New Net Technologies proponuje skupić się na najbardziej podstawowych uprawnieniach, ponieważ wciąż wielka liczba użytkownicy posiada uprawnienia lokalnego administratora. Wiele biznesowych rozwiązań posiada mechanizmy zabezpieczające – które umożliwiają wczesne wykrycie potencjalnie niebezpiecznych zdarzeń lub podejrzanych operacji. Warto z nich korzystać. Administratorzy powinni również wprowadzić mechanizmy zabezpieczające – takie jak kontrolę zmian i zarządzanie podatnościami.

Źródło

Złośliwy kreator dokumentów EtterSilent naśladuje DocuSign i jest używany przez największe gangi cyberprzestępcze

Złośliwe narzędzie do tworzenia dokumentów o nazwie „EtterSilent” cieszy się rosnącą popularnością na przestępczych forach. Nic dziwnego, że twórcy stale uzbrajają je w nowe techniki, pozwalające uniknąć wykrycia. 

Reklamy promujące EtterSilent maldoc builder na dark forach oferują takie funkcje jak obejście Windows Defender, Windows AMSI (Antimalware Scan Interface) i popularne usługi poczty e-mail, w tym Gmail.

Według badań Intel 471 występuje on w dwóch wersjach. Jeden wykorzystuje lukę CVE-2017-8570 w Microsoft Office, a drugi złośliwe makra.

W tym drugim scenariuszu EtterSilent naśladuje produkt do podpisu cyfrowego DocuSign lub DigiCert – gdy ofiary klikają w podpis elektroniczny, są proszone o włączenie makr. To prowadzi z kolei do ataku malware. 

Ponieważ narzędzie korzysta z makr XML programu Excel 4.0, EtterSilent nie jest zależny od języka programowania Visual Basic for Applications (VBA), który jest często spotykany w przypadku złośliwych makr.

W zeszłym miesiącu EtterSilent został użyty w kampanii wykorzystującej inne narzędzie, zwane BazarLoader. W poprzedniej kampanii z użyciem EtterSilent atakujący wykorzystali zaktualizowaną wersję Trickbota, znanego trojana bankowego. Był również wykorzystany w towarzystwie trojanów bankowych BokBot, Gozi ISFB i QBot.

Źródła: 1 | 2