Google varuje pred mega podvodom TOUGHPROGRESS. Používatelia ich služieb sú na muške hackerov a takto útok prebieha!
Hackeri z APT41 útočia kampaňou TOUGHPROGRESS na užívateľov cez Google Kalendár. Takto sa ochrániš.
Bezpečnostní experti z Googlu odhalili podvodnú kampaň, ktorá ohrozuje miliardy užívateľov, ktorí používajú Google služby. Ide o podvod, ktorý prebieha naprieč niekoľkými platformami spoločnosti.
Po prvýkrát pozorovali tento konkrétny podvod koncom minulého roka. V tej dobe hackeri zneužili vládnu webstránku na hostovanie malvéru a svoj útok cielili na iné vládne entity. Bezpečnostní analytici pomenovali kampaň TOUGHPROGRESS. Táto kampaň zneužívala Google Kalendár ako command and control platformu.
Hackerská kampaň pretrváva do dnešného dňa a hackeri útočia po celom svete. Útok cieli hlavne na vládne agentúry, globálne odvetvia ako doprava, média, technológie a automobilový priemysel, ako aj na individuálnych užívateľov a organizácie. Nižšie sa pozrieme na to, ako útok prebieha.
Hackeri rozširujú svoje pôsobenie
Kampaň TOUGHPROGRESS sa začína poslaním phishingového emailu obeti. V správe sa nachádza odkaz na ZIP súbor, ktorý sa nachádza na falošnej vládnej stránke. Archív obsahuje LNK súbor, ktorý sa vydáva za PDF a priečinok, v ktorom sa nachádza sedem JPG obrázkov. Na obrázkoch sa nachádza sedem artropódov. Po inštalácií malvéru sa LNK súbor nahradí skutočným PDF dokumentom, v ktorom sa píše, že tieto živočíšne druhy sa musia schváliť na export.
Vyšetrovanie kampane ukázalo, že obrázok 6 a 7 sú falošné súbory. Obrázok 6 je v skutočnosti zašifrovaný malvér a obrázok 7 tento malvér dešifruje a rozbaľuje. Bezpečnostní analytici vysvetľujú, že malvér má tri odlišné metódy. Zároveň sa inštaluje do zariadenia v sériách, ktoré majú svoje špecifické funkcie. Každý modul sa vyznačuje vlastnými stealth technikami a metódami na vyhnutie sa odhaleniu. Hackeri využívajú zapisovanie do RAM pamäte, šifrovanie, kompresu, či iné taktiky.
Neprehliadni
Malvér TOUGHPROGRESS začína využitím napevno zakódovaného 16-bitového XOR kľúča. Ten využíva na dešifrovanie vloženého shellkódu, ktorý následne rozbalí škodlivý DLL súbor. Tento DLL súbor sa vyznačuje niekoľkými technikami na zakrytie škodlivej činnosti.
THOUGHPROCESS malvér má schopnosť čítať a zapísať udalosti v Google Kalendári, ktorý ovláda útočník. Keď sa malvér spúšťa, v kalendári vytvára udalosť v pevne stanovenom dátume, 30. mája 2023. Dáta, ktoré malvér získa zo zariadenia obete sa zašifrujú a uložia v popise udalosti v kalendári. Následne operátor vytvára ďalšie udalosti. Tentokrát ale v popise udalosti zašifruje ďalšie príkazy pre malvér.
Útočníci využívajú Google Kalendár ako tajnú komunikačnú linku medzi svojim riadiacim centrom a škodlivým programom v počítači obete. Keď je počítač infikovaný, malvér vytvorí v Google Kalendári špeciálnu udalosť, v ktorej šifrovaným spôsobom uloží údaje zo zariadenia obete. Na druhej strane útočníci vkladajú do kalendára nové udalosti, ktoré obsahujú zašifrované príkazy pre malvér. Tento ich pravidelne kontroluje, dešifruje príkazy a vykonáva ich. Po vykonaní príkazu vytvorí novú udalosť v kalendári s výsledkami svojej činnosti, čím informuje útočníkov. Celý proces pôsobí ako bežné používanie cloudovej služby a je preto ťažko odhaliteľný.
Keď sa kalendár dostáva k udalosti, prečíta si popis a spúšťa príkaz, ktorý je v popise uložený.
“Našim cieľom je nielen monitorovať rôzne hrozby, no zároveň proti nim bojovať a narušiť činnosť hackerov. V Googli je našim cieľom chrániť užívateľov a zákazníkov v dostatočnej miere a proaktívne blokovať malvérové kampane naprieč našimi produktami,” hovoria bezpečnostní analytici Google.
Ako sa najlepšie chrániť pred útokom?
Bezpečnostní analytici zistili, že s najväčšou pravdepodobnosťou za útokmi stojí hackerská skupina APT41. Na identifikovanie a zneškodnenie ich útoku Google vyvinul špeciálne “odtlačky prstov”. Ide o súbor faktorov, ktoré dokážu odhaliť modus operandi týchto hackerov a efektívne sa vysporiadať s ich útokmi, aj keď používajú viacero krokov na zakrytie svojej podvodnej činnosti.
Bezpečnostní analytici postrehli aj to, že hackeri z APT41 začali používať bezplatné webhostingové nástroje na šírenie svojho malvéru. To zahŕňa Voldemort alebo Dusttrap nástroje. Pravdepodobne ich ale bude ešte viac. Objavujú sa aj náznaky, že hackeri začali cieliť na oveľa širšiu skupinu obetí. Stále útočia na vládne ciele, no po novom už zasiahli aj rôzne priemysly a individuálnych užívateľov. Ako sme už spomenuli vyššie, podvody prebiehajú po celom svete.
Najlepšie sa ochrániš pred útokom tak, že nebudeš interagovať s podozrivými a nevyžiadanými prílohami. V prípade akéhokoľvek podozrivého mailu si pozorne prečítaj správu a najskôr si dvakrát premysli, či správe veríš natoľko, aby si klikol na priložený odkaz alebo otvoril prílohu. Rovnako pomôže, ak máš nainštalovaný dôveryhodný antivírový program v počítači.
Komentáre