Powrót Masslogger / botnet WatchDog / Złośliwy Barcode Scanner

Niebezpieczny Masslogger powrócił w zupełnie nowej odsłonie. Jest znacznie potężniejszy niż jego wcześniejsza odmiana, z którą zmagali się użytkownicy systemów Windows przez lata. Nowe znaczy lepsze? W tym przypadku – zdecydowanie tak. Mamy do czynienia z koniem trojańskim, który próbuje wykradać dane uwierzytelniające z Microsoft Outlook, klienta poczty Thunderbird oraz menedżerów haseł w ramach Google Chrome, Mozilla Firefox, czy Microsoft Edge. Tak więc jeśli na Twoją skrzynkę trafiła podejrzana wiadomość email… Lepiej jej nie otwieraj. Chcesz dowiedzieć się więcej na temat Masslogger? Więcej interesujących faktów znajdziesz poniżej.

Trojan Masslogger kradnie dane uwierzytelniające z Chrome, Outlooka i wielu innych

Specjaliści Cisco Talos ostrzegają przed trojanem Masslogger wykorzystywanym w atakach mających na celu kradzież danych uwierzytelniających kont Microsoft Outlook, Google Chrome i komunikatorów. Operatorzy zostali powiązani z takimi zagrożeniami jak AgentTesla, Formbook i AsyncRAT.

Najnowszy wariant trojana Masslogger, dostarczany jest za pośrednictwem wiadomości phishingowych. Te udające zapytania biznesowe maile zawierają załączniki .RAR. Jeśli ofiara je otworzy, zostaną podzielone na wielotomowe archiwa z rozszerzeniem „r00”. Zdaniem specjalistów może być to próba oszukania programów odpowiedzialnych za blokowanie złośliwych załączników na podstawie rozszerzeń. 

Następnie rozpakowywany jest skompilowany plik HTML .CHM – domyślny format legalnych plików pomocy systemu Windows. Zawiera on kolejny plik HTML z osadzonym kodem JavaScript. Na każdym etapie kod jest zaciemniony i ostatecznie prowadzi do wdrożenia skryptu PowerShell, który zawiera moduł ładujący Masslogger.

Cisco Talos ostrzega, że Masslogger to złodziej danych uwierzytelniających i keylogger z możliwością eksfiltracji danych przez protokoły SMTP, FTP lub HTTP. W przypadku pierwszych dwóch nie wymaga żadnych dodatkowych komponentów po stronie serwera, a eksfiltracja przez HTTP odbywa się za pośrednictwem aplikacji internetowej panelu sterowania Masslogger. 

Aplikacje podatne na kradzież danych uwierzytelniających obejmują przeglądarki Discord, Microsoft Outlook, Mozilla Thunderbird, Firefox i Chromium. Złośliwe oprogramowanie próbuje również wykluczyć się ze skanowania w programie Windows Defender.

Póki co, atakujący celują głównie w kraje Europy Południowej i Wschodniej, ale tempo ich ekspansji zwiększa się sukcesywnie z każdym miesiącem. 

Źródło:  12

Serwery Windows i Linux atakowane przez nowy botnet WatchDog od prawie… dwóch lat

Złośliwe oprogramowanie do wydobywania kryptowalut, zwane WatchDog, działało w ukryciu od ponad dwóch lat. Naukowcy nazywają go jednym z największych i najdłużej trwających ataków na Monero. Oczywiste jest, że operatorzy WatchDog są wykwalifikowanymi programistami i cieszyli się względnym brakiem uwagi, jeśli chodzi o ich operacje wydobywcze.

Ponadto atak nadal trwa, a ze względu na rozmiar i zakres infrastruktury trudno będzie go powstrzymać. Atakujący przejęli co najmniej 476 urządzeń z systemem Windows i Linux. aby wykorzystać ich zasoby systemowe do wydobywania kryptowaluty Monero. Jednak szacuje się, że realnie botnet zainfekował 500-1000 systemów. 

Atakujący na razie trzymają się cryptojackingu. Jest jednak wysoce prawdopodobne, że posiadając dane do zarządzania tożsamością i dostępem (IAM) w systemach chmurowych, które zdobywają wraz z infekcją, otworzą sobie drzwi do przyszłych, groźniejszych ataków. Na zainfekowanych serwerach WatchDog zwykle działa bowiem z uprawnieniami administratora i może bez trudu przeprowadzić skanowanie i zrzut danych uwierzytelniających, jeśli jego twórcy kiedykolwiek tego zapragną. 

Operatorzy botnetu wdzierali się na infekowane systemy poprzez przestarzałe aplikacje korporacyjne. Wykorzystali 33 różne exploity dla 32 luk w oprogramowaniu, takim jak: 

Drupal, Elasticsearch, Apache Hadoop, Redis, Spring Data Commons, SQL Server, ThinkPHP, Oracle WebLogic, CCTV.

Zysk tej kampanii oszacowano na 209 Monero wycenianych na około 32 tys. dolarów. Rzeczywista kwota jest prawdopodobnie wyższa ponieważ badaczom udało się przeanalizować tylko kilka plików binarnych. 

Jak możesz chronić swój system? Powtarzamy to raz za razem – aktualizuj systemy i aplikacje, aby zapobiegać atakom wykorzystującym exploity dla starych luk w zabezpieczeniach.

Źródło: 12

Barcode Scanner: popularny skaner kodów QR przekształcił się w malware… w ciągu jednej nocy

Na początku lutego firma Malwarebytes zbadała, jak to się stało, że Barcode Scanner – użyteczna i popularna aplikacja Google Play – po ostatnich aktualizacjach, przekształciła się w złośliwe oprogramowanie.

Niewinny program – złapany na gorącym uczynku?

Na przestrzeni lat – wokół wspomnianej aplikacji – powstała dość liczna społeczność. Mówimy w końcu o ponad 10 milionach instalacji. Jednak w ostatnich tygodniach jej użytkownicy zaczęli narzekać, że ich urządzenia nagle wypełniły się niechcianymi reklamami. Po krótkim śledztwie, skaner kodów został wskazany jako sprawca zamieszania. Okazało się, że pod przykrywką przyjaznej aplikacji, czai się jednak trojan – Android/Trojan.HiddenAds.AdQR.

Badacze przeanalizowali złośliwe aktualizacje, podczas których w kodzie aplikacji zaimplementowano agresywne reklamy phishingowe. Kod analityczny również został zmodyfikowany, a same aktualizacje mocno zaciemnione. Właściciel – firma Lavabird Ltd. – został uznany za sprawcę ataku. Dalsze dochodzenie wykazało jednak, że w grę była zaangażowana także strona trzecia – podmiot zainteresowany zakupem aplikacji i jej późniejszy właściciel.

Co się właściwie wydarzyło?

Wydaje się, że można już śmiało mówić o odważnym zagraniu socjotechnicznym. Przestępcy wyrazili chęć zakupu popularnej aplikacji. Zanim jednak do tego doszło, poprosili o testowy dostęp do konsoli aplikacji w Google Play w celu zweryfikowania klucza i hasła oprogramowania przed jego zakupem. Wtedy został wymuszony pierwszy złośliwy update. Nawet jeśli tylko ułamek userów – pamiętajmy, że jest to liczna grupa, ponad 10 milionów pobrań – zaktualizował swoją androidową apkę, jest to i tak wielka liczba infekcji. A dzięki możliwości zmodyfikowania kodu aplikacji przed jej zakupem i przeniesieniem praw, przestępcy byli w stanie bezpiecznie sprawdzić, czy ich malware jest wykrywany przez moduły Play Protect. A jeśli złośliwa modyfikacja zostałaby wyłapana przez Google, wina spadłaby na jej Właściciela. I tak też się stało, pierwszym podejrzanym była przecież firma Lavabird, do której skaner oryginalnie należał.

Sprytnie rozegrane, nie sądzicie?

Źródło

Potwierdzono, że sprawcy cyberataku SolarWinds wykradli część kodu źródłowego Microsoft Azure, Exchange i Intune

W styczniu informowaliśmy, że sprawcy ataku SolarWinds mogli dotrzeć do części kodu źródłowego firmy Microsoft. W tym czasie Microsoft nie znalazł dowodów wskazujących na to, że sprawcy uzyskali dostęp do środowiska produkcyjnego lub też danych klientów. Coś jednak wyszło na światło dzienne – jedno z wewnętrznych kont użyto do przeglądania kodu źródłowego zamieszczonego w kilku repozytoriach kodu.

Microsoft zakończył już swoje śledztwo i kilka dni wydał oficjalne podsumowanie. Potwierdzono to co wiedziano już wcześniej. Hakerzy uzyskali dostęp tylko do kilku plików w większości repozytoriów. Jednak w przypadku niektórych z nich, w tym Azure, Intune i Exchange, atakujący byli w stanie również pobrać niektóre komponenty kodu.

Mały podzbiór składników platformy Azure (podzbiory usług, zabezpieczenia, tożsamość), pewną liczbę składników usługi Intune i niewielki podzbiór komponentów Exchange.

Dochodzenie potwierdziło również wcześniejsze przypuszczenia, że kod do którego uzyskano dostęp, nie zawierał żadnych danych uwierzytelniających – co jest bardzo dobrą informacją.

To nie był pierwszy lepszy hacking

Analizy ataku supply chain SolarWinds ujawniły, że kod użyty przez cyberprzestępców był najprawdopodobniej dziełem tysiąca programistów. Możliwe więc, że mamy do czynienia z największym i najbardziej wyrafinowanym atakiem, jaki kiedykolwiek widział świat. To niepokojące odkrycie – rzuca również więcej światła na złożoność samego ataku i ilość wysiłku, jaki włożono w jego przygotowanie i przeprowadzenie.

Źródło: 12