EDDIESTEALER malvér útočí známou a ničivou metódou: Ak uvidíš toto okno, si na nebezpečnej stránke!
Bezpečnostní analytici pozorujú novú kampaň, cez ktorú sa šíri zákerný infostealer.
Bezpečnostní analytici z Elastic Security Labs odhalili nový infostealer malvér, ktorý sa šíri cez falošné CAPTCHA kampane. Podľa dostupných informácií hackeri malvér hostujú na niekoľkých škodlivých stránkach.
Kampaň používa čoraz častejšie vyskytujúcu sa taktiku ClickFix. Podstatou tejto metódy je to, že kyberzločinci presvedčia užívateľa, aby sám spustil vo svojom zariadení škodlivý skript, ktorý stiahne do ich zariadení malvér.
ClickFix útoky spravidla prebiehajú tak, že na infikovanej stránke je užívateľ upozornený na nejaký problém a aby ho vyriešil, musí nasledovať niekoľko krokov. Podvody s falošným CAPTCHA overením prebiehajú takmer identicky, len s tým rozdielom, že namiesto riešenia problému užívateľ “overuje, či nie je bot”.
Keď natrafíš na stránku s falošným CAPTCHA overením, otvorí sa ti okno, v ktorom je napísané, že potrebuješ overiť, že si skutočne človek. Kliknutím na tlačidlo overiť skopíruješ do schránky škodlivý skript. Následne sa ti otvorí ďalšie okno, ktoré ťa žiada, aby si stlačil kombináciu kláves “Win+R”, potom “Ctrl+V” a potom potvrdil Enterom.
Hackeri sa spoliehajú na nedostatok skúseností
Nemusíš mať veľa skúseností s počítačmi, aby si mal v hlave varovný signál, že tento postup nemôže byť správny a že ide o niečo, čo má nejakú funkciu. V tomto prípade máš úplnú pravdu. Kombinácia kláves Win+R otvára okno Spustiť. Keď následne stlačíš známu kombináciu Ctrl+V, teda prilepenie textu, do tohto okna automaticky prilepíš škodlivý skript. Ako posledné, teda potvrdenie Enterom, tento skript spúšťaš.
Neprehliadni
Hackeri sa v prípade Fake CAPTCHA a ClickFix útokov spoliehajú, že obeť útoku má nulové skúsenosti s programovaním. Aj keď uvidia v okne Spustiť “hakybaky” nevedia, že ide o programátorský kód s určitými funkciami.
Keď teda obeť potvrdí Enterom zadanie škodlivého kódu, v ďalšom kroku sa sťahuje do zariadenia malvér. Presnejšie ide o infostealer EDDIESTEALER, ktorý sa špecializuje na kradnutie citlivých informácií, či už ide o dokumenty, prihlasovacie údaje, cookies a iné.
“EDDIESTEALER je druh infostealeru, ktorý sa zakladá na platforme Rust. Väčšina stringov, ktoré by mohli prezrádzať jeho škodlivý zámer sú šifrované. Zároveň ale ide o malvér, ktorý nemá nejakú výraznú ochranu pred sandbox alebo virtuálnym prostredím, ktoré môžu bezpečnostní analytici použiť na skúmanie malvéru bez rizika,” hovoria bezpečnostní analytici.
EDDIESTEALER šifruje väčšinu stringov cez jednoduchý šifrovací nástroj XOR. Ako spomínali bezpečnostní analytici, tento infostealer nemá nejakú robustnú ochranu pred sandbox prostredím, no nejakú má. Počas inštalácie skontroluje, či má zariadenie viac pamäte RAM ako 4 GB, čo môže byť kontrola pred sandboxom, aby sa nepovedalo. Ak má zariadenie 4GB RAM alebo menej, malvér sa automaticky maže zo zariadenia.
Bezpečnostní analytici odhalili, že malvér dokáže kradnúť údaje z kryptopeňaženiek, prehliadačov, správcov hesiel, FTP klientov a četovacích aplikácií.
Pozor aj na tento malvér
Pred pár dňami si experti z CYFIRMA všimli aj hackerskú kampaň, ktorá šírila GhostSpy RAT malvér. V tomto prípade ide zas o mobilný malvér. Ide o vysokorizikový útok, ktorý sa dokáže vyhnúť odhaleniu a dokáže sa udržať v systéme.
Keďže ide o RAT, alebo Remote Access Trojan, hackerom poskytuje zadné vrátka do tvojho zariadenia a kompletnú kontrolu nad ním. K tomu, ako už aj názov malvéru indikuje, je vybavený sofistikovanými špionážnymi funkciami. Útok sa začína neškodnou aplikáciou, ktorá slúži ako dropper a po stiahnutí cez falošnú aktualizáciu sťahuje do zariadenia GhostSpy RAT.
Aplikácia automaticky získa všetky potrebné povolenia tým, že simuluje interakcie užívateľa. V praxi si teda hacker sám dokáže potvrdiť povolenia škodlivej aplikácie a užívateľ sa o ničom nemusí dozvedieť. Keď sa malvér úplne nainštaluje a začne pracovať, hackerom ponúka množstvo špionážnych funkcií. GhostSpy má keylogging funkcie, teda dokáže zaznamenať stlačenia tvojej klávesnice. Okrem toho zaznamenáva obrazovku a cez mikrofón dokáže zaznamenávať aj zvuky okolo mobilu a cez kameru ťa vie špehovať. Viac o tomto útoku píšeme v našom článku.
Komentáre