Hackeri za zákerným ransomware Lactrodectus hlásia návrat. Osvojili si ešte nebezpečnejšiu taktiku
Hackeri za Lactrodectus malvérom si osvojili ClickFix taktiku a útočia na užívateľov vo veľkom.
Bezpečnostní analytici z Expel vyšetrujú hackerskú kampaň Lactrodectus, cez ktorú sa šíri zákerný ransomware. Ten napadá nielen zariadenia užívateľov, ale aj celé korporátne siete.
Lactrodectus je druh pavúka, po ktorom hackeri pomenovali aj svoj ransomware. Hackeri vyčíňajú už dlhšiu dobu, pričom sa spoliehajú hlavne na ClickFix útoky. Tie zneužívajú falošné chybové hlášky alebo CAPTCHA overenia tak, aby presvedčili užívateľa, aby spustil vo svojom zariadení škodlivý kód cez platformu Windows Run.
V rámci hackerských útokov ClickFix sa šíril hlavne infostealer alebo v niektorých prípadoch aj RAT trójsky kôň. Tentokrát ale bezpečnostní analytici pozorovali, že si techniku adaptovali aj hackeri za malvérom Lactrodectus.
“ClickFix technika je mimoriadne riziková, pretože dovoľuje malvéru spustiť sa v pamäti zariadenia namiesto toho, aby bol zapísaný na disk. Toto dovoľuje škodlivému softvéru aby prešiel cez veľa bezpečnostných kontrol od prehliadačov alebo bezpečnostných programov,” vysvetľujú bezpečnostní experti.
Ransomware skupina si osvojila nebezpečnú taktiku
Ako to už v rámci ClickFix kampaní býva zvykom, hackeri presvedčia užívateľov, aby spustili na svojom zariadení škodlivý PowerShell príkaz. Bezpečnostní analytici vysvetľujú, že s najväčšou pravdepodobnosťou počas útoku hackeri nahovoria užívateľovi cez falošnú stránku, že je problém s jeho sieťou a spustenie škodlivého príkazu problém vyrieši.
Keď užívateľ falošný príkaz spustí, počítač sa pokúsi nainštalovať súbor lokalizovaný na vzdialenej URL adrese pomocou MSIExec. Malvér sa pokúsi spustiť v pamäti, aby hackeri zabránili zápisu na disk a zvýšeniu rizika, že malvér odhalia antivírové programy alebo prehliadač.
Neprehliadni
MSI inštalátor obsahuje legitímnu aplikáciu od NVIDIA, no je zabalený so škodlivou DLL knižnicou. Tento DLL súbor sa nahráva a spúšťa legitímnou NVIDIA aplikáciou “NVIDIA Notification”. DLL sa následne pokúsi stiahnuť ďalší EXE súbor, ktorý uloží do verejného priečinka. Tento priečinok sa využíva pri útokoch často, pretože nepotrebuje veľa povolení. Súbor, ktorý sa v priečinku ukladá je súbor, ktorý vykoná posledný útok.
“Počiatočné fázy útoku prebiehajú bez súborov, no nie celý útok. Postrehnutie nových súborov v PC dáva užívateľom príležitosť útok postrehnúť a prekaziť, no najlepšie je, keď sa útok podchytí čím skôr, alebo sa mu užívateľ vyhne,” hovoria bezpečnostní analytici.
Jednou z metód ochrany je vypnúť systém Windows Run. Hoci ide o užitočnú funkciu, väčšina bežných užívateľov nepotrebuje túto možnosť. Ďalšou možnosťou je vypnúť klávesovú skratku “Win+R”, ktorá Windows Run zapína.
Celkovo však treba dávať pozor na CAPTCHA alebo opravy, ktoré od teba vyžadujú vyššie spomínanú kombináciu kláves a následne prilepenie nejakého neznámeho kódu do otvoreného okna.
ClickFix taktika priblížená
Ako sme už spomenuli, ClickFix je metóda, ktorá sa spolieha na to, že si užívateľ sám do zariadenia nahrá malvér. Keď omylom užívateľ zavíta na infikovanú stránku, zobrazí sa mu okno, v ktorom uvidí chybovú hlášku. Zároveň je pod hláškou tlačidlo na opravenie problému. Keď na toto tlačidlo klikneš, spravidla ti stránka poskytne inštrukcie na otvorenie príkazového riadku, skopírovanie a prilepenie škodlivého kódu do príkazového riadku a následné spustenie tohto kódu.
Ak človek nemá programovacie skúsenosti, nemá šancu vedieť, že tento príkaz v skutočnosti slúži na stiahnutie malvéru zo vzdialeného servera. Všeobecne platí, že by si nikdy nemal spúšťať na svojom počítači žiaden kód, pokiaľ nevieš s istotou povedať, čo tento kód presne robí. Dvojnásobne to platí, ak ti na internete niekto neznámy povie, aby si tento kód spustil. Pozor teda na akékoľvek správy, ktoré po tebe chcú, aby si niečo spustil v príkazovom riadku, obzvlášť, ak tým máš vyriešiť nejakú “chybu”. Podobné taktiky sa objavujú čoraz častejšie a sú mimoriadne efektívne.
Komentáre