Richard Zliechovský
22. februára 2025

Na svete je nový malvér FINALDRAFT. Útočí na populárnu e-mailovú schránku, ktorú obľubujú aj Slováci

Bezpečnostní analytici pozorovali novú vlnu kybernetických útokov, ktoré využívajú doteraz nevidený malvér FINALDRAFT.

hacker_titulka
Zdroj: Irham Setyaki z Unsplash, úprava Voseteit.sk

Bezpečnostní experti z Elastic Security Labs odhalili novú rodinu malvéru, ktorá sa zameriava na službu Microsoft Outlook. Zaznamenaný malvér je úplne nový, čo znamená, že sa v minulosti neobjavil v online priestore.  

Vyšetrovanie útokov odhalilo, že malvér zneužíva Outlook ako komunikačný kanál cez rozhranie Microsoft Graph API. Celkovo sa malvér vyznačuje viacerými funkcionalitami, vrátane loaderu, zadných dvierok a niekoľkých submodulov, ktoré umožňujú útočiť na infikované zariadenia niekoľkými rôznymi spôsobmi.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Bezpečnostní analytici odhalili niekoľko rôznych verzií malvéru, čo naznačuje, že ho kyberzločinci nejakú dobu vyvíjali.  

“Úplnosť používaných nástrojov a úroveň inžinierstva nám naznačuje, že vývojári sú mimoriadne dobre organizovaní a ich operácia funguje už nejakú dobu. S najväčšou pravdepodobnosťou sa kybernetickí zločinci venujú špionáži,” vysvetľujú bezpečnostní analytici.

hacker pocitac
Zdroj: Vosveteit.sk, AI

Hackeri útočia na ministerstvá

Nový malvér analytici nazývajú FINALDRAFT. Ide o 64-bitový malvér napísaný v programovacom jazyku C++. Hlavné funkcie malvéru sa sústredia na exfiltráciu dát a injekciu procesov. Malvér obsahuje niekoľko dodatočných modulov, ktoré analytici identifikovali ako súčasť FINALDRAFT kitu. Tieto moduly sa môžu do infikovaného zariadenia dostať spolu s hlavným malvérom.  

Ďalej analýza odhalila, že malvér používa niekoľko odlišných komunikačných metód, no najčastejšie využívanou a najnovšou metódou je tá, ktorá zneužíva mailového klienta Outlook na komunikáciu. Táto metóda sa podobá na malvér SIESTAGRAPH, ktorý sa objavil ešte v roku 2023. Službu Outlook zneužíva malvér FINALDRAFT cez Microsoft Graph API.  

Reklama

Ako sme už spomenuli v úvode, malvér môže slúžiť kybernetickým zločincom na špehovanie. Vyšetrovanie odhalilo, že v rámci svojich útokov cielia hackeri na ministerstvá zahraničia v rôznych krajinách.  

Po infikovaní zariadenia malvér FINALDRAFT získava informácie o zariadení obete. V rámci týchto informácií sleduje názov počítača, názov účtu, interné a externé IP adresy či podrobnosti o prebiehajúcich procesoch. Na základe týchto informácií môže malvér napríklad určiť, aké bezpečnostné opatrenia zariadenie používa. Malvér sa môže vložiť buď do prebiehajúcich procesov alebo vytvorí vlastný skrytý proces, do ktorého sa vloží. 

Zaujímavé články

  1. Toto je brutálny WhatsApp podvod, aký tu ešte nebol. Stačí jedno kliknutie a podvodník ťa vymkne z tvojho účtu
  2. Veľká četovacia platforma na seba strhla pozornosť ruských hackerov: Na toto si dávaj obrovský pozor, inak ťa môžu špehovať, radia experti
  3. Takto ľahko sa môže premeniť Gmail na stalkerware! Toto by si si mal hneď skontrolovať, či ťa niekto nešpehuje
  4. Snake Keylogger hlási návrat v novej verzii, ktorá je ešte zákernejšia ako minule. Takto sa ti môže dostať do počítača

Ešte pred zavedením komunikácie s riadiacim command and control (C2) serverom hackera vytvára malvér FINALDRAFT výnimku vo Windows Firewalle. Vytvorené pravidlo sa maže keď server hackera spadne. Popri špehovacích funkciách má malvér FINALDRAFT aj možnosť mazania súborov. Tu bezpečnostní analytici postrehli, že malvér bráni obnove súborov tým, že pred vymazaním prepíše dáta súboru na samé nuly.  

Jeden z pozorovaných modulov dodal operátorovi možnosť vykonať PowerShell príkazy bez toho, aby spustil powershell.exe. Dokázal to s pomocou kódu z PowerPick. Ide o dobre známy open-source ofenzívny bezpečnostný nástroj. Počas vyšetrovania výskumníci natrafili aj na staršie verzie malvéru FINALDRAFT. Tieto staršie verzie podporovali len približne polovicu príkazov najnovšieho malvéru. Aj to naznačuje, že je FINALDRAFT vo vývoji.  

Dávajte si pozor na podozrivé maily s prílohami
Zdroj: Pixabay (OpenClipart-Vectors, satheeshsankaran), Úprava: Vosveteit.sk

Ďalšie hackerské útoky 

Nedávno bezpečnostní analytici odhalili aj ďalšiu kybernetickú operáciu, ktorá sa vymykala z normálu. Hackeri totiž využívali Telegram ako svoju C2 platformu, čo sa bežne vo sfére kyberzločinu nevidí. Bezpečnostní analytici ale potvrdzujú, že Telegram a ďalšie cloudové služby môžu byť atraktívnou platformou pre kyberzločincov. V budúcnosti by sme mohli očakávať viac takýchto útokov.  

To ale nie je jedinou zvláštnosťou, ktorú si analytici všimli. Všetko nasvedčuje tomu, že malvér, ktorý kyberzločinci využívajú v rámci tejto kampane, je stále vo vývoji, no aj napriek tomu plne funkčný. Hackeri kompilovali malvér v Golangu a keď sa aktivuje, slúži ako zadné vrátka. To znamená, že v systéme vytvorí pre kyberzločincov jednoduchý prístup, a tí môžu cez vrátka opäť prekĺznuť do zariadenia, alebo doňho inštalovať ďalší malvér. Vyšetrovanie odhalilo, že škodlivý softvér môže pochádzať z Ruska. Naznačuje to jazyk použitý v ovládacom rozhraní malvéru. Viac o tejto kampani nájdeš v tomto článku. 

Google News Pridajte si Vosveteit.sk ako preferovaný zdroj informácií na Google Pridať