{"id":1917,"date":"2019-11-04T09:01:50","date_gmt":"2019-11-04T08:01:50","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=1917"},"modified":"2019-11-04T09:03:35","modified_gmt":"2019-11-04T08:03:35","slug":"phaas-strzez-sie-xhelper-voicemail-phishing","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/phaas-strzez-sie-xhelper-voicemail-phishing\/","title":{"rendered":"PHaaS \/ strze\u017c si\u0119 xHelper \/ „voicemail” phishing"},"content":{"rendered":"\n

Co kryje si\u0119 pod skr\u00f3tem PHaaS? Gratulacje dla wszystkich, kt\u00f3rzy powiedzieli Phishing as a Service<\/em>. W cyber-p\u00f3\u0142\u015bwiatku zadebiutowa\u0142a nowa us\u0142uga, kt\u00f3ra da\u0142a si\u0119 ju\u017c odczu\u0107 IT gigantom \u2013 w szczeg\u00f3lno\u015bci chodzi o Microsoft, PayPal czy Dropbox. Co jeszcze dla was przygotowali\u015bmy? xHelper, nowy ransomware, kt\u00f3rego nie spos\u00f3b usun\u0105\u0107 z urz\u0105dzenia [Android], (nie)zauwa\u017calny atak z wykorzystaniem funkcji JAVA, olimpiada na celowniku cyberprzest\u0119pc\u00f3w, kolejny phishing wymierzony w u\u017cytkownik\u00f3w Office 365 oraz pranie brudnych pieni\u0119dzy na miar\u0119 XXI wieku. <\/p>\n\n\n\n\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

1. Adwind jRAT, czyli starego szczura nie przechytrzysz<\/strong><\/h2>\n\n\n

Adwind jRAT, czyli trojan umo\u017cliwiaj\u0105cy atakuj\u0105cym zdalny dost\u0119p do danych (i ich kradzie\u017c \u2013 niespodzianka!) ma now\u0105 taktyk\u0119. Jego tw\u00f3rcy pos\u0142u\u017cyli si\u0119 jedn\u0105 z podstawowych funkcjonalno\u015bci JAVA aby niezauwa\u017calnie wykrada\u0107 dane\u2026 Niezauwa\u017calnie tak\u017ce dla system\u00f3w bezpiecze\u0144stwa.<\/p>\n\n\n\n

\u00d3w szczur jest znany specjalistom od 2013 r. Trojan pozwala na wykradanie danych uwierzytelniaj\u0105cych, informacji o systemie, kluczy kryptograficznych. Zachowuje si\u0119 tak\u017ce jak typowy keylogger \u2013 zapami\u0119tuje kombinacj\u0119 naciskanych klawiszy oraz wykonuje screenshoty. Do tego jest zagro\u017ceniem wieloplatformowych \u201edost\u0119pnym\u201d dla system\u00f3w Windows, Linux oraz macOS. Dotychczasowe wersje jRAT rozprzestrzenia\u0142y si\u0119 za pomoc\u0105 wiadomo\u015bci phishingowych, zainfekowanego oprogramowania lub z\u0142o\u015bliwych stron.<\/p>\n\n\n\n

Nowy wariant obra\u0142 sobie jednak za cel urz\u0105dzenia dzia\u0142aj\u0105ce pod Windows oraz popularne aplikacje dost\u0119pne dla Win OS. Adwind skupia si\u0119 teraz tak\u017ce na przegl\u0105darkach opartych na silniku Chromium.<\/p>\n\n\n

Co z t\u0105 JAVA\u2019\u0105? <\/strong> <\/h6>\n\n\n

Najnowsza wersja jRAT wykorzystuje j\u0105 do przej\u0119cia kontroli i zbierania danych z zainfekowanych urz\u0105dze\u0144. Malware ukrywa si\u0119 w pliku JAR do kt\u00f3rego prowadzi link ze z\u0142o\u015bliwej wiadomo\u015bci. Ofiary pobiera\u0142y go r\u00f3wnie\u017c ze strony dystrybuuj\u0105cej niezabezpieczone programy oraz z przestarza\u0142ych stron WordPress (o tym, \u017ce WordPress nale\u017cy systematycznie aktualizowa\u0107 ka\u017cdy wie). Wr\u00f3\u0107my do pliku JAR. Zagro\u017cenie ukrywa si\u0119 pod kilkoma warstwami zaciemniaj\u0105cymi. Uruchomienie pliku ko\u0144czy si\u0119 pobraniem RAT z serwera C&C. Adwind nast\u0119pnie odszyfrowuje pliki aby zdoby\u0107 dost\u0119p do listy adres\u00f3w IP innych serwer\u00f3w C&C. Wybiera jeden, wysy\u0142a zaszyfrowane zapytanie poprzez port TCP (80) i nast\u0119pnie \u0142aduje kolejny zestaw plik\u00f3w JAR. Te za to aktywuj\u0105 jRAT, kt\u00f3ry od tego momentu jest ju\u017c w pe\u0142ni funkcjonalny i wysy\u0142a zapytania oraz dane do serwer\u00f3w pod kontrol\u0105 atakuj\u0105cych.<\/p>\n\n\n\n

W tej postaci Adwind \u201ezachowuje si\u0119\u201d jak ka\u017cda inna komenda JAVA. Miliony podobnych przemierzaj\u0105 firmow\u0105 sie\u0107 ka\u017cdego dnia. Systemy heurystyczne nic nie wykrywaj\u0105, poniewa\u017c na pierwszy rzut oka nie dzieje si\u0119 nic z\u0142ego. Dopiero zgromadzenie wi\u0119kszej ilo\u015bci danych \u2013 czyt. zagro\u017cenie musi by\u0107 aktywne przez d\u0142u\u017cszy czas \u2013 pozwala go wykry\u0107. Ale wtedy jest du\u017co za p\u00f3\u017ano. <\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

\"xHelper,<\/a><\/figure><\/div>\n\n\n\n
<\/div>\n\n\n\n<\/a>\n\n\n

2. xHelper – tego malware\u2019a ju\u017c nie usuniesz ze swojego Androida<\/strong><\/h2>\n\n\n

Program antywirusowy lub reset i przywr\u00f3cenie ustawie\u0144 fabrycznych nic nie daje. Malware zwyczajnie instaluje si\u0119 na urz\u0105dzeniu ponownie. <\/p>\n\n\n\n

Specjali\u015bci na xHelper natkn\u0119li si\u0119 po raz pierwszy w marcu br. Zagro\u017cenie rozprzestrzenia si\u0119 dosy\u0107 powoli – w sierpniu rezydowa\u0142 ju\u017c na 32 tys. urz\u0105dze\u0144. Dzi\u015b ta liczba wzros\u0142a do ponad 45 tys. \u015arednio malware infekuje dziennie 131 nowych system\u00f3w Android. Miesi\u0119cznie to ju\u017c 2400 u\u017cytkownik\u00f3w, g\u0142\u00f3wnie z Indii, USA oraz Rosji.<\/p>\n\n\n\n

Nie wiedzia\u0142em co czyni\u0119\u2026<\/strong> xHelper instaluje si\u0119 wy\u0142\u0105cznie poprzez aplikacje firm trzecich. Zdaniem specjalist\u00f3w z Malwarebytes przekierowania odsy\u0142aj\u0105 u\u017cytkownik\u00f3w na strony ze spreparowanymi aplikacjami dla Android. Na nich u\u017cytkownicy dowiaduj\u0105 si\u0119 r\u00f3wnie\u017c w jaki spos\u00f3b zainstalowa\u0107 na urz\u0105dzeniu \u201enieoficjalne\u201d aplikacje spoza Sklepu Play. To ju\u017c powinien by\u0107 jasny sygna\u0142, \u017ceby jednak tego nie robi\u0107. Kod ukryty wewn\u0105trz apki inicjuje pobieranie trojana. <\/p>\n\n\n\n

xHelper nie wyrz\u0105dza znacz\u0105cych szk\u00f3d. Trojan \u201etylko\u201d wy\u015bwietla reklamy oraz m\u0119cz\u0105ce powiadomienia, kt\u00f3re przekierowuj\u0105 do Play Store. Wygl\u0105da na to, \u017ce jego tw\u00f3rcy s\u0105 na ten moment nastawieni na zyski z modelu pay-per-install. Malware jest jednak w stanie pobiera\u0107 i instalowa\u0107 inne aplikacje. Mo\u017ce wi\u0119c zosta\u0107 wykorzystany do wgrywania dodatkowych payloads, jak ransomware, trojan\u00f3w bankowych czy bot\u2019\u00f3w umo\u017cliwiaj\u0105cych ataki DDoS. Jest wi\u0119c niebezpieczny – zw\u0142aszcza, \u017ce nie mo\u017cna si\u0119 go pozby\u0107\u2026 z sukcesem.<\/p>\n\n\n

xHelper – jak odinstalowa\u0107?<\/h6>\n\n\n

Na ten moment nie mo\u017cna. W momencie gdy trojan zdobywa dost\u0119p do urz\u0105dzenia, xHelper instaluje si\u0119 jako oddzielna i niezale\u017cna us\u0142uga.Odinstalowywanie nic nie daje, poniewa\u017c zagro\u017cenie nadal jest na urz\u0105dzeniu i jest w stanie kontynuowa\u0107 wy\u015bwietlanie reklam oraz powiadomie\u0144. <\/p>\n\n\n\n

Nawet w sytuacji gdy u\u017cytkownik zauwa\u017cy podejrzan\u0105 us\u0142ug\u0119 w systemie, usuni\u0119cie jej niczego nie zmienia. Trojan zwyczajnie instaluje si\u0119 ponownie \u2013 nawet po przywr\u00f3ceniu ustawie\u0144 fabrycznych i wymazaniu danych urz\u0105dzenia. W jaki spos\u00f3b jest to mo\u017cliwe? To ci\u0105gle wielka niewiadoma. U\u017cytkownicy bezskutecznie pr\u00f3buj\u0105 sobie poradzi\u0107 z problemem. Wy\u0142\u0105czenie opcji \u201eInstaluj aplikacje z nieznanych \u017ar\u00f3de\u0142\u201d i usuni\u0119cie trojana tak\u017ce nie gwarantuje sukcesu. xHelper zwyczajnie ponownie zmienia ustawienia oraz zezwala na tak\u0105 operacj\u0119 i\u2026 instaluje si\u0119 ponownie. <\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

3. Phishing as a service? Nowa us\u0142uga, kt\u00f3ra zdoby\u0142a serca cyberprzest\u0119pc\u00f3w<\/strong><\/h2>\n\n\n

Phishing drog\u0105 do \u201eserca\u201d wielkiej firmy? Tak, ale nie byle jaki. Zw\u0142aszcza kiedy k\u0105skiem mo\u017ce pa\u015b\u0107 Microsoft, PayPal, DHL lub Dropbox. W przypadku takich atak\u00f3w, przest\u0119pcy coraz cz\u0119\u015bciej si\u0119gaj\u0105 po phishing as a service (PHaaS).<\/p>\n\n\n\n

Phishing to ju\u017c nie tylko zagro\u017cenie, kt\u00f3re \u201ewype\u0142za\u201d ze skrzynki mailowej. Social media i urz\u0105dzenia mobilne sta\u0142y si\u0119 nieod\u0142\u0105cznym elementem codziennej ludzkiej egzystencji, wi\u0119c czemu tego nie wykorzysta\u0107? Ataki typu BEC (Business Email Compromise) w ci\u0105gu tylko pi\u0119ciu lat przynios\u0142y firmom ponad 12 miliard\u00f3w strat.<\/p>\n\n\n\n

Przest\u0119pcy atakuj\u0105 rozpoznawalne globalne marki oraz ich u\u017cytkownik\u00f3w. Firmy technologiczne wiod\u0105 prym – 6035 domen oraz 120 wariacji zagro\u017ce\u0144. Drugim najcz\u0119\u015bciej atakowanym sektorem s\u0105 us\u0142ugi finansowe – 3658 domen i 83 odmian.<\/p>\n\n\n\n

\"\"
\u0179r\u00f3d\u0142o: HelpNetSecurity<\/a><\/figcaption><\/figure><\/div>\n\n\n\n

Panta rhei.<\/strong> Atakuj\u0105cym zale\u017cy na tym by ich dzia\u0142ania pozostawa\u0142y w ukryciu mo\u017cliwie jak najd\u0142u\u017cej. Badania przeprowadzone przez Akamai pokazuj\u0105, \u017ce 60% zaobserwowanych \u201epaczek\u201d pozostawa\u0142o aktywnych przez 20 dni lub kr\u00f3cej. To efekt coraz lepszych rozwi\u0105za\u0144 antyphishingowych. Atakuj\u0105cy s\u0105 wi\u0119c zmuszani stale opracowywa\u0107 nowe metody \u201ezaciemniania\u201d swojej obecno\u015bci.<\/p>\n\n\n\n

Pomys\u0142 na biznes?<\/strong> Niska cena zakupu i ukierunkowanie na du\u017ce, rozpoznawalne marki r\u00f3wna si\u0119 niskiej barierze wej\u015bcia na rynek dla przest\u0119pc\u00f3w chc\u0105cych oferowa\u0107 skrojone na miar\u0119 rozwi\u0105zania phishingowe. Zaawansowane techniki zaciemniania, design oraz opcje geotargetowania? P\u0142acisz i masz\u2026 <\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

4. Olimpiada w Tokyo na celowniku haker\u00f3w<\/strong><\/h2>\n\n\n

Zawody sportowe wywo\u0142uj\u0105 niema\u0142e emocje nie tylko w\u015br\u00f3d kibic\u00f3w, ale r\u00f3wnie\u017c przest\u0119pc\u00f3w. Grupa hakerska Strontium (znana r\u00f3wnie\u017c jako APT 28 lub Fancy Bear), finansowana przez rosyjski rz\u0105d, by\u0142a zamieszana w infiltracj\u0119 co najmniej 16 krajowych i mi\u0119dzynarodowych organizacji sportowych i antydopingowych. Wed\u0142ug specjalist\u00f3w z Microsoft na celowniku znalaz\u0142a si\u0119 r\u00f3wnie\u017c letnia olimpiada w Tokyo. <\/p>\n\n\n\n

Metody wykorzystane w ostatnich atakach mocno przypominaj\u0105 te stosowane wcze\u015bniej przez Strontium na organizacjach rz\u0105dowych, militarnych, zajmuj\u0105cych si\u0119 prawami cz\u0142owieka, uniwersytetami oraz firmami na ca\u0142ym \u015bwiecie. Zalicza si\u0119 do nich spear-phishing, wy\u0142udzanie hase\u0142, wykorzystywanie luk w urz\u0105dzeniach pod\u0142\u0105czonych do sieci czy ataki z wykorzystaniem z\u0142o\u015bliwego oprogramowania. <\/p>\n\n\n\n

Nie jest do ko\u0144ca jasne, co hakerzy zamierzali wykra\u015b\u0107, ale podejrzanie ataki rozpocz\u0119\u0142y si\u0119 tu\u017c przed pojawieniem si\u0119 doniesie\u0144 o tym, \u017ce Rosja mo\u017ce zosta\u0107 wykluczona z igrzysk i innych wa\u017cnych wydarze\u0144 sportowych w zwi\u0105zku z nieprawid\u0142owo\u015bciami zwi\u0105zanymi z dopingiem. <\/p>\n\n\n\n

Mo\u017cliwe, \u017ce hakerzy szukaj\u0105 dowod\u00f3w na doping przez sportowc\u00f3w z innych kraj\u00f3w. M\u00f3wi si\u0119, \u017ce grupa opublikowa\u0142a dokumentacj\u0119 medyczn\u0105 i e-maile pochodz\u0105ce od organizacji sportowych i antydopingowych w 2016 i 2018 r., co sko\u0144czy\u0142o si\u0119 oskar\u017ceniem przed s\u0105dem federalnym w Stanach Zjednoczonych. <\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

5. \u201cMasz now\u0105 wiadomo\u015b\u0107 g\u0142osow\u0105\u201d – phishing u\u017cytkownik\u00f3w Office365<\/strong><\/h2>\n\n\n

Najnowsza kampania phishingowa uderza w biznesowych u\u017cytkownik\u00f3w Office365. Wabikiem jest fa\u0142szywa wiadomo\u015b\u0107 g\u0142osowa. W pierwszym kroku u\u017cytkownik otrzymuje maila z Microsoft zawieraj\u0105cego informacj\u0119 o nieodebranym po\u0142\u0105czeniu g\u0142osowym i konieczno\u015bci zalogowania si\u0119 do konta Office365 w celu ods\u0142uchania nagranej wiadomo\u015bci. <\/p>\n\n\n\n

W mailu znajduje si\u0119 plik HTML, kt\u00f3ry za\u0142adowany przekieruje u\u017cytkownika na jedn\u0105 z trzech stron phishingowych, kt\u00f3ra:<\/p>\n\n\n\n