Ruský botnet šíri mega rozsiahly spam, cez ktorý sa šíri trojan. Keď infikuje zariadenie, vydoluje z neho všetko, čo sa dá

Bezpečnostní analytici varujú pred masívnou spamovou kampaňou, ktorá šíri trójskeho koňa. Podľa dostupných informácií, za kampaňou stojí ruský botnet.

hacker rusko
Zdroj: JC Gellidon z Unsplash a Jaydeep Joshi z Pixabay, koláž Vosveteit.sk

Bezpečnostní experti z Infoblox Threat Intel objavili botnet, ktorý doručuje užívateľom malvér cez spamové kampane. Tie využívajú falošné domény odosielateľa.  

Botnety sú nástroje kyberzločincov a sú vystavané zo zariadení, nad ktorými hackeri získali kontrolu. Ide o siete, ktoré sa mimoriadne ťažko narúšajú a predstavujú v online priestore perzistentnú hrozbu. V tomto prípade ide o botnet, ktorý tvorí globálnu sieť Mikrotik routerov. Cez ne posiela užívateľom spamové emaily, ktoré sa javia ako z legitímnych domén.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Ide o spamové emaily, ktoré obsahujú trójskeho koňa. Bezpečnostní analytici ale predpokladajú, že s najväčšou pravdepodobnosťou hackeri využívajú tento botnet aj na ďalšie kybernetické útoky.  

“Botnety existovali už od prvých dní internetu a postupom času sa stali sofistikovanejšie. Ide o sadu napadnutých zariadení, ktoré sú na diaľku ovládané kyberzločincami, aby vykonávali nejakú škodlivú činnosť vo veľkom. Môže ísť napríklad o distribúciu spamu alebo veľké DDoS útoky,” vysvetľujú bezpečnostní analytici.

hacker pocitac
Zdroj: Vosveteit.sk, AI

Masívna spamová kampaň

Keďže ide o distribuovanú aktivitu, narušiť botnet je extrémne komplikované. Zároveň to dovoľuje hackerom ukryť svoju identitu. Zároveň platí, že ak útok prichádza z tisícov rôznych zdrojov, oveľa ťažšie sa mu bráni, ako keď hacker zaútočí z jednej IP adresy.  

Nová kampaň sa začína spamovým e-mailom, ktorý ukrýva trójskeho koňa. Bezpečnostní analytici postrehli, že sa táto spamová kampaň začala po prvýkrát objavovať ešte v novembri. Mail sa vydáva za objednávku, pričom v prílohe sa objavujú dva ZIP súbory, jeden vydávajúci sa za faktúru, druhý za sledovanie objednávky. Obsah správy mailu naznačuje, že sa útočník vydáva za prepravcu DHL. 

“Vážený zákazník, dovoľujeme si Vám oznámiť, že Vám bola vystavená faktúra za prepravu Vašej zásielky. Kompletné platobné údaje nájdete v priloženom dokumente. V záujme bezproblémového doručenia Vás žiadame o skorú úhradu fakturovanej sumy. S akýmikoľvek otázkami sa na nás môžete s dôverou obrátiť. S úctou, DHL Express,” píše sa v emaily.

podvodny e-mail v ktorom je trojan
Zdroj: Vosveteit.sk, príklad podvodné e-mailu s objednávkou

Nitky vedú do Ruska

Priložený ZIP súbor obsahuje ukrytý JavaScript súbor, ktorý spúšťa PowerShell skript. Ten nadväzuje externé pripojenie ku command and control serveru hackerov. IP adresa (62.133.60[.]137. ), na ktorú sa zariadenie pripojí, je známa z minulých útokov a viaže sa na ruskú aktivitu útočníkov. Skript je zámerne zneprehľadnený, aby sa vyhol detekcii bezpečnostnými systémami. PowerShell skript kontaktuje riadiaci server, odkiaľ môže sťahovať ďalšie škodlivé súbory, prijímať príkazy alebo posielať ukradnuté dáta.

Hlavičky mnohých nevyžiadaných e-mailov odhalili širokú škálu domén a IP adries SMTP serverov. Bezpečnostní analytici narazili na rozsiahlu sieť približne 13-tisíc napadnutých zariadení Mikrotik, tvoriacich súčasť rozsiahleho botnetu. Dokopy všetky napadnuté routery predstavujú akýsi kanón, ktorý môže napadnúť užívateľov rôznymi typmi škodlivej aktivity.  

Vyšetrovanie zároveň odhalili niekoľko kritických slabín v Mikrotik routeroch. Tieto slabiny pozorovali na rôznych verziách firmwaru, vrátane tých novších. Ako sme už spomenuli, hackeri využívajú viac ako 13-tisíc napadnutých Mikrotik routerov a dokopy imitujú viac ako 20-tisíc domén. Ide o skutočne masívnu spamovú kampaň, ktorá zasahuje užívateľov po celom svete.  

malware ransomware utok hackeri
Zdroj: janews / shutterstock.com

Medzi škodlivé funkcie trojana patrí napríklad schopnosť kradnúť citlivé údaje zo zariadenia, inštalovať ďalší softvér do počítača či vytváranie ďalších zadných vrátok pre útočníkov

Ako sa chrániť?

Najlepšou ochranou je opatrnosť. Ak ti príde do schránky nečakaný email, vždy si dobre skontroluj odkiaľ prišiel a nikdy neklikaj na priložené odkazy alebo neotváraj prílohy, pokiaľ nemáš istotu, čo sa v prílohe alebo v odkaze skutočne nachádza. Hackeri v tomto prípade dokázali obísť bezpečnostné mechanizmy, ktoré normálne slúžia na triedenie spamu.  

Pri mnohých podvodoch a útokoch sa totiž kyberzločinci spoliehajú hlavne na nepozornosť užívateľa. Existuje veľa vecí, ktoré na internete robíme monotónne, napríklad kontrolovanie objednávok alebo mnoho ďalšieho. Stačí ale len malá dávka nepozornosti a takto klikneme na škodlivú URL ktorá nám do zariadenia stiahne malvér. Preto sa oplatí pracovať na internete pomalšie, hlavne ak nás prekvapí napríklad mail s faktúrou k objednávke, ktorú si nepamätáme, že by sme robili.  

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre