Hackeri schovali nový útok za známu službu Googlu. Takto dnes môže vyzerať e-mailový útok, ktorý ľahko oklame aj opatrného človeka
Aj obyčajný e-mail s prílohou môže byť pascou. Útočníci v tomto prípade zneužili dôveryhodnú službu Googlu a cez falošný dokument sa dostali až k ovládnutiu počítača.
Kyberzločinci neustále hľadajú nové spôsoby, ako obísť bezpečnostné systémy. Najnovší prípad, ktorý analyzovali experti zo spoločnosti Huntress, ukázal mimoriadne premyslený útok, ktorý začal obyčajným e-mailom a skončil úplným ovládnutím napadnutého počítača.
Na prvý pohľad pritom nič nenasvedčovalo tomu, že ide o sofistikovanú operáciu. Útočníci využili známu techniku označovanú ako malspam, teda škodlivý e-mail navrhnutý tak, aby prinútil obeť kliknúť na odkaz alebo otvoriť prílohu. V tomto prípade išlo o prílohu s názvom Bestellung_2026.html, čo v preklade z nemčiny znamená objednávka. Vo firemnom prostredí takýto názov nemusí pôsobiť vôbec podozrivo. Práve naopak, môže vyzerať ako bežný dokument, ktorý človek otvorí popri práci takmer automaticky.
Maily prichádzali cez dôveryhodnú službu Googlu
Celý útok odštartoval e-mail s prílohou vydávajúcou sa za objednávku. Po otvorení súboru sa používateľ nepresunul priamo na škodlivú stránku. Najskôr prešiel cez službu DoubleClick, ktorú vlastní Google, čo bol práve ten trik, ktorý zaujal bezpečnostných analytikov na celej operácii najviac.
Bezpečnostné systémy totiž často dôverujú známym a renomovaným doménam. Ak sa v odkaze objaví služba patriaca Googlu, množstvo filtrov ju automaticky považuje za bezpečnú. Po presmerovaní sa obeť dostala na stránku, ktorá sa prispôsobila konkrétnemu používateľovi.
Útočníci vytvorili mimoriadne flexibilný systém. Nemuseli pripravovať samostatnú kampaň pre každú spoločnosť. Stránka si sama načítala e-mailovú adresu obete, zistila názov firmy a následne stiahla jej logo z verejne dostupných zdrojov. Zároveň zobrazila mesto, región a aktuálny čas návštevníka.
Neprehliadni
Výsledok pôsobil veľmi presvedčivo. Používateľ teda nadobudol pocit, že otvoril legitímny dokument určený priamo pre neho. Presne o to útočníkom išlo. Nešlo len o to ukázať falošnú stránku, ale vytvoriť pocit, že všetko sedí. Firma, logo, poloha aj čas. Po kliknutí na tlačidlo na stiahnutie údajného PDF súboru sa však spustila ďalšia fáza útoku.
Po otvorení súboru sa začal komplikovaný reťazec operácií. Najskôr sa spustil JScript, následne PowerShell skript a potom séria ďalších komponentov založených na platforme .NET. Každá vrstva pripravila pôdu pre tú nasledujúcu.
„Útok sa prakticky nedotkol disku. Pozostával z piatich fáz, HTML, JScript, PowerShell, .NET loader a finálny náklad, pričom väčšina operácií prebehla priamo v pamäti,“ opisujú experti.
Takýto prístup výrazne sťažuje odhalenie. Klasické antivírusy totiž často sledujú súbory zapisované na disk. Ak sa škodlivý kód presúva najmä v operačnej pamäti, jeho zachytenie bezpečnostným softvérom je oveľa náročnejšie.
Keď už malvér bežal v počítači obete, program po spustení okamžite preveril svoje okolie. Hľadal virtuálne stroje, ladiace nástroje, sandboxy a aplikácie používané bezpečnostnými analytikmi. Ak našiel niektorý z nich, ukončil svoju činnosť a v mnohých prípadoch dokonca reštartoval počítač. Pre bežného používateľa by to mohlo vyzerať ako obyčajná chyba systému. V skutočnosti išlo o ďalší krok, ktorý mal sťažiť odhalenie škodlivého kódu.
Po úspešnom prekonaní kontrol prišla ďalšia fáza. Malvér sa pokúsil oslabiť obranné mechanizmy systému Windows, čo znamená, že škodlivý program aktívne upravil AMSI a ETW na úrovni systémových rozhraní, čím prakticky oslepil časť bezpečnostnej telemetrie systému Windows ešte pred vytvorením perzistencie.
Jednoducho povedané, útočníci sa snažili vypnúť alebo obmedziť nástroje, ktoré by ich mohli prezradiť.
Útok sa dokázal schovať za legitímne procesy operačného systému
V poslednej fáze útoku malvér namiesto vlastného spustiteľného súboru zneužil legitímne programy Microsoftu. Najčastejšie si vybral nástroje InstallUtil.exe alebo MSBuild.exe, ktoré patria medzi štandardné súčasti systému Windows. Pre bezpečnostný softvér tak bolo oveľa náročnejšie rozlíšiť, či ide o normálnu aktivitu alebo o útok.
Následne sa škodlivý program spojil so vzdialenými servermi útočníkov, odoslal informácie o napadnutom zariadení a čakal na ďalšie pokyny. V tejto chvíli už nešlo len o obyčajnú infekciu. Loader mohol útočníkom otvoriť cestu k vzdialenej kontrole nad počítačom, teda k možnosti kradnúť dáta, spúšťať príkazy alebo použiť zariadenie ako vstupný bod do ďalšej časti siete.
Podľa expertov sa útočníci zaujímali aj o grafické karty NVIDIA a AMD, nainštalované antivírusy či ďalšie hardvérové parametre. Takéto informácie mohli poslúžiť na výber ďalšieho škodlivého nástroja alebo na prípravu následného útoku. Záujem o grafické karty môže podľa analytikov naznačovať aj možnú prípravu na ťažbu kryptomien, hoci túto možnosť uvádzajú opatrne.
Celý incident ukázal, že e-mailové útoky stále predstavujú jednu z najväčších hrozieb pre firmy aj bežných používateľov. Hoci sa malspam objavuje už dlhé roky, útočníci ho neustále zdokonaľujú. V tomto prípade spojili dôveryhodné služby, personalizované webové stránky, viacvrstvový škodlivý kód a techniky určené na obchádzanie bezpečnostných nástrojov. Každá časť reťazca plnila konkrétnu úlohu a zvyšovala šancu na úspešné napadnutie systému.
Práve preto odborníci odporúčajú venovať zvýšenú pozornosť nečakaným e-mailovým prílohám a odkazom, aj keď na prvý pohľad vedú na známe a dôveryhodné služby. Moderné útoky totiž často nestavajú na jednej veľkej chybe, ale na sérii menších krokov, ktoré spolu vytvoria veľmi presvedčivú pascu. Najhoršie na tom je, že obeť nemusí spraviť nič, čo by jej v danej chvíli pripadalo vyslovene riskantné. Stačí otvoriť objednávku, uvidieť logo firmy a kliknúť na falošné PDF.
