O-STA

PhishMe - pri sosedih Italijanih razhaja napad na prejemnike e-pošte, ponarejena sporočila z DHL tematiko dostavljajo škodljivo kodo JavaScript

PhishMe, promotor človeškega vidika kibernetske varnosti in dobavitelj uspešnega orodja za trening uporabnikov elektronske pošte PhishMe Simulator, ter podjetje REAL security d.o.o. iz Maribora,

je v blogu na spodaj zabeleženem URL naslovu objavil zanimive podrobnosti o e-poštnem napadu na italijansko govoreče uporabnike e-pošte. Napadeni so predvsem na uporabnike DHL storitev, prejemnika poskuša s socialnim inženiringom in poudarkom na nujnosti akcije pretentati v odpiranje škodljivega dela sporočila, katerega ponarejeni elementi izgledajo, kot da prihaja iz DHL. Primerek sporočila je na spodnji sliki.

Priponka je ZIP arhiv s škodljivo kodo v programskem jeziku JavaScript, ki se lahko sproži na operacijskem sistemu Windows s storitvijo WSH (Windows Script Host) engine. Koda pa je napisana precej zapleteno in nečitljivo, da se lahko izogne detekciji v varnostnih rešitvah, ki bi drugače kaj hitro prepoznale njen namen ali skoraj 1000 URL naslovov, ki so sedaj neprepoznavni. Ta koda je pravzaprav samo ti. downloader, ki poskuša iz enega od teh naslovov prenesti trojanskega konja znanega pod imenom Ursnif/Gozi-ISFB, kar bo najbrž v zagonski datoteki s končnico .scr, ki je namenjena zaslonskim varčevalnikom. Ta je izvirno namenjen kraji bančnih in drugih osebnih podatkov, v tem primeru pa, kar so pri PhishMe zaznali sploh prvič, deluje tudi kot dodatni downloader za nameščanje še hujših škodljivcev. V enem primeru je recimo namestil spambot orodje, ki je pričelo pošiljati spam v italijanščini, maskiran kot romantično pismo.

Zanimivo in predvsem bizarno je, da se tekom napada oz. aktivnosti prenesene škodljive kode lahko izpisujejo opozorilna okna s sporočilom o napaki. To se dogaja takrat, ko JavaScript koda kontaktira URL naslove, najbrž zato, ker funkcija pričakuje nek odgovor, in ker nekateri naslovi niso (več) aktivni, ga ne dobi, zato se sproži izjema, ki znotraj koda ni prestrežena. To je precej bizarno, saj lahko taka napak v škodljivi kodi hitro povzroči odkritje okužbe s strani človeka, četudi je koda že pobegnila mimo samodejnih varnostnih rešitev.

Tukaj je en vzorec iz te škodljive programske kode JavaScript:

Ursnif spada v eno od najstarejših družin škodljive programske kode, v taki ali drugačni obliki razhaja že od leta 2007, v veliko različnih verzij in kopij se je razmnožil zato, ker je bila njegova izvorna koda nekje okoli leta 2010 pomotoma (ali morda celo namenoma) izpuščena v hekersko javnost. Ursnif v tem napadu je tretja, še posebej nevarna revizija te škodljive kode. Je zelo napredna in zmožna na različne načine odtujiti ogromne količine podatkov, preusmerjati opravila na straneh spletnega bančništva, ali kot smo videli tokrat, prenašati druge škodljive programe. Prenos dodatnih škodljivcev in napake v izvajanju JavaScript kode sta precejšnji odstopanji od drugače zelo izmuzljivih Ursnif napadov.

Zmogljivosti trojanskega konja Ursnif in njegovih variant:

  • Beleženje tipkanja - za zajem uporabniških imen, gesel in drugih podatkov
  • Zajemanje zaslonskih slik in videa
  • Odtujevanje podatkov - prestreženi prijavni podatki, ključi, žetoni, zaslonske slike, vsebina datotek idr.
  • Spreminjanje spletnih strani - vstavljanje škodljive kode v strani spletnih bank
  • Napadi tipa man-in-the-browser, to je vrsta man-in-the-middle napada, ki zlorabi varnostno pomanjkljivost spletnega brskalnika in spreminja med sem ter tja poslane informacije na način, ki je tako uporabniku kot spletnem strežniku popolnoma neviden
  • Nameščanje odjemalca za omrežje TOR
  • Oddaljeno upravljanje
  • Vstavljanje okužbe v posamezne datoteke
  • Napredno skrivanje z vrinjanjem lastne kode v legalne delovne procese
  • Postavitev SOCKs posrednika za prikrito tuneliranje podatkovnega prometa skozi lasten kanal
  • Blokiranje domen in URL naslovov
  • Kraja tekstovnih gesel iz mrežnega prometa
  • Manipuliranje programskih vmesnikov Windows API
  • Lastno posodabljanje in spreminjanje s ciljem čim daljšega obstoja v okuženem okolju
  • In še več...

Kot vidimo, so lahko okužbe tega tipa zelo nevarne za posameznika in organizacijo. Ursnif zagotovi hekerjem dostop do informacijskega okolja podjetja, kjer je lahko ostane skrit dolgo časa in se prilagaja novim varnostnim ukrepom, hkrati pa lahko ves čas prestreza in skozi neberljive kanale, kot so TOR ali HTTPS, odtujuje poslovne podatke, pridobi imena in gesla za druge načine vdiranja v sistem, ali pomaga posredovati dodatno škodljivo kodo, z okužbo datotek na deljenih datotečnih sistemih pa si omogoči razmnoževanje po vsej organizaciji.

Da preprečimo tako katastrofalno okužbo moramo vzpostaviti večplastno varnostno strategijo, vključno s filtriranjem e-poštne vsebine in prilepljenih datotek glede na vrsto vsebine, zaščito na prehodu omrežja, napredne analitične tehnologije tipa sandboxing ter emulacij na perimetru in končnih točkah ter - morda najbolj kritično - osebje, ki se zaveda (ne)varnosti in je zmožno prepoznati in prijaviti sumljive priloge sporočil elektronske pošte.

Mimogrede, PhishMe je sedaj Cofense... o tem pa kdaj drugič.

Avtor / prevod: Robert Lubej

Povezava do originalne novice:

https://phishme.com/italian-dhl-themed-phishing-leads-ursnif-spambot/

### ### ###

O podjetju PhishMe

PhishMe je informacijsko podjetje, ki že dlje časa usmerja tržišče izobraževanja poslovnih uporabnikov elektronske pošte čigar rešitve so fokusirane na ljudi namesto na tehnologijo. Podjetje se je sicer legalno ustanovilo kot samostojna entiteta leta 2011, prve storitve PhishMe pa so razvili in ponujali uporabnikom že od leta 2008. Njihov cilj je omogočiti ljudem boljše poslovanje, predvsem lažje in varno sodelovanje in večjo produktivnost, in sicer s sprotnim zagotavljanjem aktualnih informacij o varni rabi elektronske pošte. Vodilna tematika rešitev podjetja je izobraževanje sodelavcev v organizaciji o problematiki 'ribarjenja za podatki' - phishing - ter preizkušanje varnostne 'imunitete' poslovnega okolja na napade te vrste z vodilnim produktom podjetja PhishMe Simulator.

Več o PhishMe najdete na spletnih straneh: https://phishme.com/

Dodatne informacije:

Matic Knuplež, Product Manager

matic.knuplez@real-sec.com

REAL security d.o.o.

Žolgarjeva ulica 17

2000 Maribor

tel.: 02 234 74 74

http://www.real-sec.com

info@real-sec.com