Witajcie w ostatnim kwietniowym przegl\u0105dzie news\u00f3w IT. W sieci zadebiutowa\u0142y kody CS:GO i Team Fortress 2. Valve uspokaja graczy, jednak najwi\u0119ksze serwisy zawiesi\u0142y dzia\u0142anie swoich serwer\u00f3w i czekaj\u0105 na szczeg\u00f3\u0142owe wyja\u015bnienia. Wi\u0119cej na ten temat przeczytacie poni\u017cej. W tym tygodniu tak\u017ce Banker.BR, czyli Tw\u00f3j nowy trojan bankowy, kolejna kampania Trickbot i historia hackera, kt\u00f3ry\u2026 odda\u0142 25 mln USD. A tak\u017ce ESET eliminuje botnet sk\u0142adaj\u0105cy si\u0119 z 35 tys. komputer\u00f3w oraz hacker otrzyma\u0142 1,3 mln USD od trzech firm inwestorskich. <\/p>\n\n\n\n\n\n\n\n
Nowe zagro\u017cenie wypatrzyli specjali\u015bci z IBM X-Force. S\u0105 oni zdania, \u017ce malware Banker.BR znajduje si\u0119 nadal w fazie rozwoju. W ci\u0105gu kolejnych miesi\u0119cy nale\u017cy spodziewa\u0107 si\u0119 nowych funkcjonalno\u015bci.<\/p>\n\n\n\n
Kod Banker.BR zosta\u0142 napisany od podstaw. Nie zawiera on \u017cadnych zapo\u017cycze\u0144 od zagro\u017ce\u0144, kt\u00f3rych kod \u017ar\u00f3d\u0142owy zadebiutowa\u0142 ju\u017c w sieci. Co ciekawe trojan zosta\u0142 napisany w B4X. Jest to nowoczesna wersja Visual Basic, kt\u00f3ra stanowi element pakietu zintegrowanych \u015brodowisk programistycznych (IDE), u\u017cywanych do tworzenia aplikacji na Androida i iOS. Jest to o tyle interesuj\u0105ce, poniewa\u017c B4X jest bardzo rzadko wykorzystywany do tworzenia malware. Wi\u0119kszo\u015b\u0107 grup wybiera raczej Jav\u0119 lub Kotlin, czyli dwa najpopularniejsze j\u0119zyki w kt\u00f3rych tworzy si\u0119 aplikacje na Android.<\/p>\n\n\n\n
Malware Banker.BR rozprzestrzenia si\u0119 wykorzystuj\u0105c wiadomo\u015bci, kt\u00f3re kieruj\u0105 u\u017cytkownik\u00f3w na kontrolowane przez przest\u0119pc\u00f3w domeny. Je\u015bli u\u017cytkownik kliknie i pobierze najnowsz\u0105 wersj\u0119 \u201eaplikacji bezpiecze\u0144stwa\u201d dla swoich us\u0142ug bankowych\u2026 zapocz\u0105tkuje tak naprawd\u0119 pobieranie malware.<\/p>\n\n\n\n
Po zako\u0144czeniu instalacji, malware przeczesuje urz\u0105dzenie w poszukiwaniu informacji – w tym numeru telefonu, mi\u0119dzynarodowego identyfikatora urz\u0105dzenia mobilnego (IMEI), mi\u0119dzynarodowego identyfikatora abonenta mobilnego (IMSI) i numer seryjny karty SIM. Nast\u0119pnie przesy\u0142a je na serwery C&C przest\u0119pc\u00f3w.<\/p>\n\n\n\n
Malware Banker.BR jak wiele mu podobnych korzysta z us\u0142ug w ramach Android Accessibility Suite. Jest to zbi\u00f3r us\u0142ug u\u0142atwie\u0144 dost\u0119pu, kt\u00f3re u\u0142atwiaj\u0105 korzystanie z telefonu lub tabletu osobom z r\u00f3\u017cnymi rodzajami niepe\u0142nosprawno\u015bci. Trojan zdobywa wi\u0119c dost\u0119p do kontakt\u00f3w, aparatu oraz wiadomo\u015bci SMS ofiary. W ten spos\u00f3b Banker.BR jest w\u0142a\u015bnie w stanie \u015bledzi\u0107 uruchamiane aplikacje. Gdy ofiara podejmie pr\u00f3b\u0119 zalogowania si\u0119 do aplikacji bankowej, malware wy\u015bwietli plansz\u0119 logowania i poprosi o podanie danych uwierzytelniaj\u0105cych. Poniewa\u017c zagro\u017cenie posiada pe\u0142n\u0105 kontrol\u0119 nad urz\u0105dzeniem, jest w stanie przechwyci\u0107 kody 2FA. Wtedy przest\u0119pcy mog\u0105 bez wi\u0119kszych ju\u017c problem\u00f3w wyczy\u015bci\u0107 rachunek ofiary. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Grupa odpowiedzialna za ataki z wykorzystaniem Trickbot wykorzystuje kryzys wywo\u0142any koronawirusem, aby nak\u0142oni\u0107 u\u017cytkownik\u00f3w do pobrania malware.<\/p>\n\n\n\n Trickbot rozpocz\u0105\u0142 swoje \u017cycie jako trojan bankowy. Z czasem sta\u0142 si\u0119 jednak jednym z najbardziej zaawansowanych i wydajnych sposob\u00f3w infekowania malware na \u015bwiecie. Nie tylko jest w stanie wpuszcza\u0107 na przej\u0119te komputery keyloggery, trojany oraz ransowmare. Zagro\u017cenie stosunkowo trudno usun\u0105\u0107. Dodatkowo w po\u0142\u0105czeniu z podatno\u015bci\u0105 EternalBlue daje hackerom prawie nieograniczone mo\u017cliwo\u015bci poruszania si\u0119 wewn\u0105trz zainfekowanej sieci.<\/p>\n\n\n\n W najnowszej kampanii grupa wykorzystuje jednak wiadomo\u015bci phishingowe, kt\u00f3re rzekomo pochodz\u0105 od wolontariuszy oraz organizacji humanitarnych oferuj\u0105cych testy na COVID-19. Wi\u0119cej informacji na ten temat ofiara znajdzie w za\u0142\u0105czonym dokumencie \u2013 w rzeczywisto\u015bci jest to jednak information-stealer.<\/p>\n\n\n\n Jak przy wielu innych atakach z wykorzystaniem Trickbot, makra odczekuj\u0105 20 sekund nim rozpoczn\u0105 pobieranie payload. Unikaj\u0105c w ten spos\u00f3b wykrycia.<\/p>\n\n\n\n Wi\u0119cej na temat cyberzagro\u017ce\u0144, korzystaj\u0105cych z wybuchu pandemii koronawirusa przeczytacie tutaj<\/a>, tutaj<\/a>, tutaj<\/a> oraz tutaj<\/a>.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n \u015awiat kryptowalut to \u015bwiat du\u017cych pieni\u0119dzy. Atak na jedn\u0105 platform\u0119 mo\u017ce przynie\u015b\u0107 zysk w wysoko\u015bci 25 mln dolar\u00f3w. Taki plan musia\u0142 mie\u0107 w\u0142a\u015bnie bohater tej historii. Jednak nie wszystko posz\u0142o po jego my\u015bli.<\/p>\n\n\n\n Ofiara. Dzia\u0142aj\u0105ca na terytorium Chin platforma DForce zosta\u0142a w ostatni weekend zhackowana. \u0141\u0105cznie z portfela przest\u0119pca wyci\u0105gn\u0105\u0142 24,36 mln dolar\u00f3w w Ethereum, Bitcoin oraz USD Stablecoin. Teraz robi si\u0119 ciekawie. W ci\u0105gu dw\u00f3ch kolejnych dni hacker zwr\u00f3ci\u0142 najpierw 2,79 mln a potem pozosta\u0142\u0105 kwot\u0119. Czytaj\u0105c to mo\u017cecie mie\u0107 wra\u017cenie, \u017ce chcia\u0142 zapewne w do\u015b\u0107 oryginalny spos\u00f3b pokaza\u0107 u\u017cytkownikom, \u017ce platforma ma powa\u017cnie problemy z bezpiecze\u0144stwem. Nic bardziej mylnego.<\/p>\n\n\n\n Podczas p\u00f3\u017aniejszej wymiany cz\u0119\u015bci kryptowalut hacker pozostawi\u0142 pod sobie istotne metadane m.in. adres IP oraz informacje o urz\u0105dzeniu z kt\u00f3rego korzysta\u0142 (MAC z j\u0119zykiem systemowym US English). Dodatkowo serwis wymiany 1inch.exchange.com wykorzystuje sie\u0107 dostarczania zawarto\u015bci (CDN), co by\u0142o r\u00f3wnie przydatne w dochodzeniu\u2026 kt\u00f3rego fina\u0142 okaza\u0142 si\u0119 bardzo pozytywny.<\/p>\n\n\n\n 25 mln, czy 24,36 mln dolar\u00f3w? To nie b\u0142\u0105d, r\u00f3\u017cnica jest wynikiem poniesienia przez hackera koszt\u00f3w transakcji wymiany kryptowalut. Jednak wykrad\u0142 r\u00f3wnowarto\u015b\u0107 25 mln, wi\u0119c tyle samo \u201emusia\u0142\u201d odda\u0107. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Do internetu (4chan i Torrent) trafi\u0142y kody \u017ar\u00f3d\u0142owe dw\u00f3ch gier od Valve – Counter-Strike Global Offensive (CS:GO) oraz Team Fortress 2 (FT2). Szlagierowych produkcji z gatunku First-Person Shooter. Na Reddicie i Twitterze zawrza\u0142o od obaw i dyskusji nad potencjalnymi zagro\u017ceniami. <\/p>\n\n\n\n W obu przypadkach wyciek dotyczy\u0142 wersji kodu z 2017 roku (CS: GO Operacja Hydra i kod TF2 Jungle Inferno). I cho\u0107 prawdopodobnie przez 3 lata zasz\u0142y w nich spore zmiany to cz\u0119\u015b\u0107 sta\u0142ych element\u00f3w mo\u017ce stanowi\u0107 potencjalne zagro\u017cenie. Mo\u017ce pozwoli\u0107 hakerom na przygotowanie program\u00f3w do cheatowania i wykorzystanie exploit\u00f3w prowadz\u0105cych nawet do zdalnego uruchomienia kodu. <\/p>\n\n\n\n Sytuacja wydaje si\u0119 o tyle powa\u017cna, \u017ce popularne w spo\u0142eczno\u015bci serwery TF2, takie jak Creators.TF czy Red Sun ju\u017c zawiesi\u0142y dzia\u0142anie oczekuj\u0105c szczeg\u00f3\u0142\u00f3w odno\u015bnie wycieku.<\/p>\n\n\n\n Valve uspokaja, \u017ce gracze nia maj\u0105 powodu do obaw. W o\u015bwiadczeniu powo\u0142uje si\u0119 na przegl\u0105d ujawnionego kodu. Dotyczy on przebudowy kodu silnika CS:GO wydanego partnerom pod koniec 2017 roku, kt\u00f3ry rok p\u00f3\u017aniej zaliczy\u0142 ju\u017c wyciek. Zaleca jedynie u\u017cytkownikom korzystanie z oficjalnych serwer\u00f3w gier i zapewnia, \u017ce b\u0119dzie na bie\u017c\u0105co informowa\u0142 o post\u0119pach wewn\u0119trznego \u015bledztwa. <\/p>\n\n\n\n Na ten moment nie wiadomo, kto stoi za wyciekiem. W kr\u0119gu podejrzanych znalaz\u0142 si\u0119 Tyler McVicker, tw\u00f3rca kana\u0142u Valve News Network znany z wielu wcze\u015bniejszych przeciek\u00f3w dotycz\u0105cych gier ameryka\u0144skiego producenta. Kategorycznie zaprzeczy\u0142 on jednak jakoby by\u0142 \u017ar\u00f3d\u0142em przecieku. <\/p>\n\n\n\n To nie pierwszy tego typu przypadek w historii Valve. Z podobn\u0105 sytuacj\u0105 mieli\u015bmy do czynienia w 2014 roku. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n ESET og\u0142osi\u0142 usuni\u0119cie botnetu, kt\u00f3ry od 2019 roku zainfekowa\u0142 ju\u017c ponad 35 tys. komputer\u00f3w. Wi\u0119kszo\u015b\u0107 ofiar pochodzi z Ameryki \u0141aci\u0144skiej – 90% zlokalizowano w Peru. <\/p>\n\n\n\n G\u0142\u00f3wnym celem VictoryGate, jak nazwany zosta\u0142 botnet, by\u0142o infekowanie ofiar z\u0142o\u015bliwym oprogramowaniem, kt\u00f3re po kryjomu wykopywa\u0142o kryptowalut\u0119 Monero. Wed\u0142ug badacza, botnet by\u0142 kontrolowany za pomoc\u0105 serwera ukrytego za us\u0142ug\u0105 No-IP dynamic DNS. Specjalistom z ESET uda\u0142o si\u0119 przej\u0105\u0107 serwer C&C i skonfigurowa\u0107 serwer sinkhole, aby monitorowa\u0107 i kontrolowa\u0107 zainfekowane hosty.<\/p>\n\n\n\n Definicja<\/strong>: Sinkhole\/Blackhole DNS to serwer lub segment sieci, do kt\u00f3rego celowo skierowany jest z\u0142o\u015bliwy ruch. Jest to aktywna technika wykorzystywana do obrony przeciwko z\u0142o\u015bliwym dzia\u0142aniom. <\/p>\n\n\n\n Firma wsp\u00f3\u0142pracuje teraz z cz\u0142onkami Shadowserver Foundation, aby powiadamia\u0107 wszystkie pod\u0142\u0105czane do sinkhole komputery. Ten notuje dziennie od 2 do 3,5 tys. komputer\u00f3w pinguj\u0105cych serwer C&C w celu uzyskania nowych polece\u0144.<\/p>\n\n\n\n Do tej pory uda\u0142o si\u0119 odkry\u0107 jeden spos\u00f3b dystrybucji VictoryGate – z\u0142o\u015bliwy nap\u0119d USB. Wydaje si\u0119, \u017ce z\u0142o\u015bliwe oprogramowanie mog\u0142o zosta\u0107 potajemnie zainstalowane na ska\u017conej partii urz\u0105dze\u0144 pami\u0119ci USB, kt\u00f3re zosta\u0142y wys\u0142ane do Peru. VictoryGate zawiera r\u00f3wnie\u017c komponent, kt\u00f3ry kopiuje infektor USB na nowe urz\u0105dzenia USB podpinane do komputera i w ten spos\u00f3b rozprzestrzenia si\u0119 dalej. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Wiele startup\u00f3w miesi\u0105cami stara si\u0119 o zewn\u0119trzne finansowanie. Grupa haker\u00f3w pod nazw\u0105 Florentine Banker najwidoczniej jest zdania, \u017ce ka\u017cdy milion trzeba…ukra\u015b\u0107. W zesz\u0142ym tygodniu uda\u0142o si\u0119 im oszuka\u0107 trzy brytyjskie firmy private equity, kt\u00f3re przela\u0142y na ich konto…1,3 miliona dolar\u00f3w. Jak? Za pomoc\u0105 wysoce ukierunkowanej kampanii Business Email Compromise (BEC). Pokrzywdzeni managerowie s\u0105dzili, \u017ce zawarli umow\u0119 inwestycyjn\u0105 z niekt\u00f3rymi startupami. Szerzej o tego typu kampaniach piszemy w Raporcie Cyberbezpiecze\u0144stwo Trendy 2020 (do pobrania tutaj<\/a>).\u00a0 700 tys. dol. na sta\u0142e przepad\u0142o na kontach haker\u00f3w. 500 tys. $ uda\u0142o si\u0119 odzyska\u0107 poniewa\u017c firma Check Point na czas zawiadomi\u0142a o oszustwie poszkodowane firmy. <\/p>\n\n\n\n Florentine Banker jest znana z kampanii BEC. Poprzednio na ich celowniku znalaz\u0142y si\u0119 sektory produkcyjny, budowlany, prawny i finansowy w USA, Kanadzie, Szwajcarii, W\u0142oszech, Niemczech i Indiach. <\/p>\n\n\n Poprzez starannie zaplanowany atak man-in-the-middle (MITM). W pierwszej fazie rozsy\u0142ali wiadomo\u015bci phishingowe maj\u0105ce na celu przej\u0119cie kontroli nad kontem os\u00f3b w firmie oraz przeprowadzenie rozleg\u0142ego wywiadu. Pomog\u0142o to zrozumie\u0107 charakter dzia\u0142alno\u015bci i kluczowe role w firmie. W kolejnej fazie stworzyli nowe regu\u0142y w skrzynce pocztowej Outlook ofiary, kt\u00f3re przekierowywa\u0142y wybrane wiadomo\u015bci e-mail do innego folderu, takiego jak np. kana\u0142 RSS, kt\u00f3ry nie jest cz\u0119sto u\u017cywany. <\/p>\n\n\n\n Opr\u00f3cz infiltracji konta e-mail i monitorowania wiadomo\u015bci, zarejestrowano domeny \u0142udz\u0105co przypominaj\u0105ce strony organizacji oraz firm z kt\u00f3rymi korespondowa\u0142a ofiara, aby przeprowadzi\u0107 atak MITM poprzez wys\u0142anie wiadomo\u015bci e-mail z fa\u0142szywych domen w imieniu obu stron. <\/p>\n\n\n\n Ka\u017cda wiadomo\u015b\u0107 e-mail wys\u0142ana przez jedn\u0105 ze stron by\u0142a w rzeczywisto\u015bci wysy\u0142ana do atakuj\u0105cego, kt\u00f3ry nast\u0119pnie przegl\u0105da\u0142 wiadomo\u015b\u0107 i decydowa\u0142, czy konieczna jest edycja tre\u015bci, po czym przes\u0142a\u0142 e-mail z odpowiedniej podobnej domeny do pierwotnego miejsca docelowego. Uzbrojeni w t\u0119 technik\u0119 atakuj\u0105cy podali nast\u0119pnie fa\u0142szywe informacje o koncie bankowym w celu przechwycenia przelew\u00f3w i inicjowania nowych \u017c\u0105da\u0144 finansowych. <\/p>\n\n\n\n W ostatnich latach gwa\u0142townie wzros\u0142a ilo\u015b\u0107 atak\u00f3w BEC. Najnowsze statystyki znajdziesz w raporcie Cyberbezpiecze\u0144stwo: Trendy 2020 na str. 34 (Pobierz<\/a>).\u00a0\u00a0<\/p>\n\n\n\n2. Motyw z koronawirusem, czyli nowa i skuteczna kampania Trickbot<\/strong><\/h2>\n\n\n
3. Hacker zwr\u00f3ci\u0142 wykradzione 25 mln dolar\u00f3w, poniewa\u017c nie ukry\u0142 swojego adresu IP<\/strong><\/h2>\n\n\n
4. Wyciek\u0142 kod \u017ar\u00f3d\u0142owy CS:GO i Team Fortress 2 – Valve uspokaja<\/strong><\/h2>\n\n\n
5. ESET eliminuje VictoryGate – botnet 35 tys. komputer\u00f3w <\/strong><\/h2>\n\n\n
6. Trzy firmy inwestycyjne przela\u0142y 1,3 mln dolar\u00f3w na konto…haker\u00f3w<\/strong><\/h2>\n\n\n
<\/p>\n\n\n\n Jak to zrobili? <\/strong> <\/h6>\n\n\n