Užívateľom začali vo veľkom volať hackeri ako falošná IT podpora: Takto ti scammeri prepašujú do PC trójskeho koňa EtherRAT

Bezpečnostní analytici upozornili na globálnu kampaň EtherRAT, ktorá sa začína podvodným hovorom IT podpory.

podvod so scamom
Zdroj:: Pete Linforth z Pixabay, Vosveteit.sk, AI (DALLE)

Kybernetickí zločinci opäť zmenili taktiku a tentoraz stavili na niečo, čo pozná prakticky každý zamestnanec. Namiesto sofistikovaných hackerských útokov využili obyčajný telefonát, presvedčivé vystupovanie a dôveru ľudí. Výsledok môže znamenať úplné ovládnutie firemného počítača aj celej podnikovej siete.

Bezpečnostní experti z Unit42 upozornili na novú globálnu kampaň, ktorá cieli na zamestnancov rôznych spoločností. Útočníci sa vydávajú za pracovníkov firemného IT oddelenia a obeť presvedčia, že musí vyriešiť údajný technický problém. Celý scenár pôsobí natoľko dôveryhodne, že množstvo používateľov podvod vôbec nespozná.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Práve kombinácia telefonátu, vzdialenej pomoci a škodlivého programu robí z tejto kampane mimoriadne nebezpečný útok.

Útok odštartuje nenápadná správa, ktorá na prvý pohľad vyzerá ako bežná firemná komunikácia. Útočníci ju zamaskujú napríklad ako pozvánku na zamestnanecký prieskum a priložia PDF dokument. Krátko po jeho otvorení príde ďalší krok. Obeti zazvoní pracovná komunikačná aplikácia a na druhej strane sa ozve človek, ktorý sa predstaví ako správca firemných systémov alebo pracovník technickej podpory. Hovor pôsobí profesionálne a útočník vystupuje sebavedomo, akoby riešil rutinný problém.

Bezpečnostní analytici z Unit 42 uviedli, že útočníci vystupovali pod identitou „správcu systému“, pričom využili externé firemné konto, ktoré malo pôsobiť dôveryhodne.

Útočník získa možnosť vstúpiť do firemného zariadenia cez vzdialený prístup

Počas rozhovoru podvodník obeť presvedčí, aby povolila zdieľanie obrazovky alebo vzdialené ovládanie počítača. Celý postup vysvetlí ako štandardnú technickú pomoc. Následne odporučí inštaláciu známych programov na vzdialenú správu, napríklad HopToDesk alebo AnyDesk. Práve tieto aplikácie samy osebe nepredstavujú škodlivý softvér. Firmy ich bežne využívajú pri riešení technických problémov. Po získaní prístupu útočník stiahne do počítača ďalší súbor. Ten už obsahuje škodlivý kód, ktorý pripraví pôdu pre ďalšiu fázu útoku.

podvodny hovor_1
Zdroj: Vosveteit.sk

Hlavnú úlohu zohráva malvér s názvom EtherRAT. Ide o vzdialeného trójskeho koňa, ktorý útočníkovi odovzdá takmer úplnú kontrolu nad napadnutým zariadením. Po úspešnej inštalácii môže čítať alebo kopírovať súbory, spúšťať ďalšie programy, získavať citlivé údaje a vykonávať príkazy podľa vlastného uváženia. Zároveň si vytvorí mechanizmy, ktoré mu umožnia zostať v počítači aj po reštarte systému.

EtherRAT využíva aj pomerne netradičný spôsob komunikácie. Informácie o riadiacom serveri získava prostredníctvom technológie blockchain Ethereum. Taký prístup výrazne komplikuje jeho odhalenie aj zablokovanie.

Bezpečnostní experti navyše objavili verejne prístupný adresár, ktorý obsahoval viacero verzií škodlivého programu. Na serveri sa nachádzali inštalačné balíky označené od verzie v1 až po v9. To naznačuje že autori malvér priebežne upravujú a rozširujú.

Vyšetrovanie expertov ukázalo, že telefonáty smerovali cez službu Microsoft Teams. Útočníci kontaktovali zamestnancov z externých účtov Microsoft 365, pričom sa vydávali za interných pracovníkov IT oddelenia. Microsoft Teams síce pri takýchto hovoroch zobrazuje upozornenie, že komunikácia prichádza z externej organizácie, no množstvo používateľov tomuto varovaniu nevenuje pozornosť. Práve na túto ľudskú chybu útočníci stavili.

Bezpečnostní analytici zároveň zaznamenali konkrétny účet, z ktorého telefonáty prichádzali. Vystupoval pod názvom technickej podpory, hoci išlo o externý účet mimo organizácie obete.

Podobných útokov pribúda

Nejde o prvý prípad zneužitia Microsoft Teams. Na jar zasiahla ďalšia rozsiahla kampaň finančné inštitúcie aj zdravotnícke organizácie. Útočníci najprv zaplavili schránky obetí nevyžiadanými e-mailami a následne ich kontaktovali ako pracovníci technickej podpory. Vtedy zneužili nástroj Quick Assist a do počítačov nainštalovali iný škodlivý program s názvom A0Backdoor.

Aj Microsoft neskôr upozornil, že podobné podvody začali prudko rásť. Podľa spoločnosti sa útočníci čoraz častejšie vydávajú za pracovníkov helpdesku a snažia sa získať vzdialený prístup k firemným zariadeniam.

„Pridali sme upozornenia, ktoré označia externé hovory a konverzácie, aby sme používateľov lepšie chránili pred phishingovými a hlasovými podvodmi,“ uvádza Microsoft.

Zároveň bezpečnostní analytici z Unit42 dodávajú, že hoci zaznamenané prípady EtherRAT útokov prebiehali výhradne cez Teams, hackeri môžu zneužiť rovnakým spôsobom prakticky akúkoľvek platformu.

Ransomware_malware_virus
Zdroj: Vosveteit

Najväčšou zbraňou zostáva dôvera

Celý útok ukazuje, že dnešní kyberzločinci sa nespoliehajú iba na technické zraniteľnosti. Čoraz častejšie útočia na samotných ľudí. Ak sa im podarí presvedčiť zamestnanca, aby dobrovoľne povolil vzdialený prístup alebo nainštaloval odporúčaný program, veľká časť bezpečnostných opatrení prestane hrať rozhodujúcu úlohu.

Práve preto odborníci odporúčajú overiť každú nečakanú žiadosť od údajného IT oddelenia, najmä ak zahŕňa zdieľanie obrazovky, vzdialené ovládanie počítača alebo inštaláciu nového softvéru. Bežný zamestnanec častokrát nemá znalosti IT špecialistu, preto sa útočníkom darí manipulovať obete technologickým žargónom. Ak teda v práci dostaneš hovor cez Teams alebo inú komunikačnú platformu, ktorý prichádza mimo firmy, hovor radšej zruš a kontaktuj IT oddelenie. Ak je v práci nejaký problém, oddelenie o tom bude mať informáciu.

Google News Pridajte si Vosveteit.sk ako preferovaný zdroj informácií na Google Pridať