Hackeri vypustili nový vírus Hannibal. Ukradne ti heslá, karty aj kryptomeny a ty si to ani nevšimneš
Bezpečnostní analytici varujú pred novinkou, infostealerom Hannibal, ktorý hackeri začali šíriť viacerými spôsobmi.
Bezpečnostní analytici z CYFIRMA odhalili novú hackerskú kampaň, prostredníctvom ktorej hackeri šíria infostealer Hannibal. Zaujímavosťou je, že analýza ukázala, že ide o infostealery Sharp a TX, ktorým dali hackeri len nový názov.
Keďže ide o infostealer, hlavným cieľom Hannibal malvéru je infiltrovať počítač obete a kradnúť citlivé údaje. Tento malvér bol napísaný v programovacom jazyku C++ a zameriava sa na širokú škálu informácií uložených v infikovanom systéme.
Medzi jeho schopnosti patrí krádež prihlasovacích údajov (používateľských mien a hesiel) uložených vo webových prehliadačoch, súborov cookies, údajov z automatického dopĺňania formulárov a informácií o kreditných kartách. Okrem toho dokáže cieliť na kryptomenové peňaženky, údaje z FTP klientov, VPN klientov a populárnych komunikačných aplikácií ako Discord či Telegram. Môže tiež zbierať systémové informácie o infikovanom počítači a v niektorých prípadoch aj vytvárať snímky obrazovky.
Hackeri šíria malvér cez viacero hackerských portálov
Vyšetrovanie bezpečnostných expertov odhalilo, že sa šíri pomocou bežných spôsobov distribúcie malvéru. Objavuje sa teda v rôznych phishingových kampaniach, užívateľ si ho môže stiahnuť z infikovaných stránok alebo sa nachádza pribalený ako súčasť crackov či pirátskeho softvéru.
Ako sme už spomenuli na začiatku, infostealer Hannibal dokáže kradnúť citlivé údaje aj z kryptopeňaženiek, presnejšie Exodus, MetaMask, Monero a ďalšie. Po prvýkrát sa infostealer objavil na predaj na hackerskom portáli BreachForums 2. februára tohto roku. Hackeri ho prenajímali za 150 dolárov na mesiac, 300 dolárov na tri mesiace a 650 dolárov na sedem mesiacov.
Neprehliadni
“Spočiatku bol ako kontakt uvedený Telegram kanál, ktorý už nie je aktívny. Dve užívateľské mená na Telegrame boli zdieľané v príspevku a predpokladáme, že išlo o vývojárov infostealera. Zaujímavosťou je, že sme podobné príspevky uvideli na iných fórach aj 3. februára a 5. februára. Predpokladáme teda, že vývojári zvolili multiplatformovú propagačnú stratégiu,” vysvetľujú bezpečnostní analytici.
Bezpečnostní experti odhalili, že ak mal niekto záujem o kúpu tohto infostealeru, dostal kontakt na troch odlišných užívateľov. To ukazuje, že za vývojom malvéru s najväčšou pravdepodobnosťou stojí viacero kyberzločincov. Okrem hlavného neaktívneho Telegram kanálu analytici identifikovali aj sekundárny s 18 odoberateľmi. K tomu hackeri vytvorili nový kanál 28. Marca tohto roku a ten má momentálne 107 odoberateľov.
Malvér je stále aktívny a vo vývoji
Na tomto poslednom kanáli sa objavili najnovšie verzie Hannibal infostealera. Najnovšia aktualázicia sa objavila 19. apríla. Zdá sa teda, že je Telegram kanál aktívny a na vývoji malvéru sa pracuje. V budúcnosti teda Hannibal infostealer môže získať ešte viac škodlivých funkcií.
“14. apríla sa objavil príspevok, na aktívnom Telegram kanáli skupiny, ktorý podporoval hacktivistickú skupinu. Tá zdieľala príspevok, v ktorom sa priznáva k hacknutiu servera na protest voči antidemokratickým praktikám v Turecku. Hackeri priznali, že ich akcie boli sociálne motivované,” hovoria bezpečnostní analytici.
Keďže hackeri za Hannibal infostealerom túto správu zdieľali, veľká šanca je, že aj ich ciele sú motivované politikou a ideológiou. Bezpečnostní analytici poukazujú na to, že je zaujímavé, ako sa prelína čisto finančne motivovaný infostealer s ideologickým zmýšľaním samotných hackerov. Rovnako sme naznačili, že Hannibal infostealer je premenovaný infostealer Sharp a TX. Nový infostealer obsahuje prvky oboch a je navyše výrazne modifikovaný. Možné teda je, že ide o rovnakých vývojárov, ako v prípade týchto malvérov.
Každopádne, ochrana pred týmto infostealerom je rovnaká, ako v prípade väčšiny malvéru. Na ochranu pred Hannibal stealerom a podobnými hrozbami je dôležité dodržiavať základné bezpečnostné postupy. To zahŕňa používanie spoľahlivého antivírusového softvéru a jeho pravidelnú aktualizáciu, opatrnosť pri otváraní emailových príloh a klikaní na odkazy z neznámych zdrojov, sťahovanie softvéru len z dôveryhodných stránok a pravidelnú aktualizáciu operačného systému a aplikácií.
Komentáre