r   e   k   l   a   m   a
r   e   k   l   a   m   a

Polacy nie gęsi… i swoje wyrafinowane ataki typu spear phishing mają

Strona główna AktualnościBEZPIECZEŃSTWO

Zespół ekspertów od cyberbezpieczeństwa z zespołu CERT Polska przeanalizował odkryte przez Zaufaną Trzecią Stronę zagrożenie, będące jedną z bardziej jak dotąd wyrafinowanych kampanii spearfishingowych w naszym kraju. Wymierzona przede wszystkim przeciwko kancelariom adwokackim operacja łączyła sprytną inżynierię społeczną ze szkodnikiem Smoke Loader, rozprowadzanym jako wtyczka pakietu Microsoft Office.

Zaufana Trzecia Strona opisała ciekawą historię, która dotknęła pewną kancelarię prawniczą. Możecie się z nią zapoznać w całości na łamach tego popularnego bloga o bezpieczeństwie, tu streścimy jedynie najważniejsze jej punkty. Otóż po krótkiej wymianie korespondencji między napastnikiem a ofiarą, była ona w przekonujący sposób proszona o kliknięcie linku prowadzącego do ważnych biznesowych dokumentów.

Po otworzeniu adresu przez przeglądarkę tę stronę pojawiały się sensownie wyglądające komunikaty o ładowaniu dokumentu Microsoft Office, ale tuż przy samym końcu dochodziło do „awarii”, w wyniku której wyświetlany był komunikat o konieczności zainstalowania wtyczki do przeglądarki, służącej do wyświetlania dokumentów Microsoft Office. Instalator był pobierany z ciekawie wyglądającej domeny update.microsoftcenter.eu – i rzeczywiście odpowiadał za instalację wtyczki, ale nie tylko. Pod koniec procesu instalacyjnego uruchamiał aplikację o nazwie doneapp.exe, przenoszącą szkodnika Smoke Loader.

r   e   k   l   a   m   a

Szkodnik ten ma spore możliwości, potrafi m.in. przekierować żądania DNS na złośliwy serwer, może też podsłuchiwać aktywność użytkownika. Jak ustalili eksperci CERT-u, potrafi przetrwać ponownie uruchomienie systemu, dodając sobie klucz do rejestru Windows i instalując się pod domyślną ścieżką danych aplikacji w katalogu o losowej nazwie, jako plik .exe o nazwie takiej sam jak wygenerowana dla katalogu.

Po uruchomieniu SmokeLoader próbuje nawiązać komunikację z siecią, sprawdzając możliwość rozwiązania domeny msn.com, a potem łączy się z innymi domenami znalezionymi we wpisach do rejestru, by ukryć w ten sposób swoją realną aktywność. Tą aktywnością jest połączenie się z serwerem dowodzenia i kontroli (w momencie badania serwer taki działał pod adresem cannedgood.eu), przesłanie mu informacji o zarażonej maszynie i oczekiwanie na dalsze zadania, w szczególności otrzymanie nowego ładunku ze złośliwym kodem.

W analizowanym przypadku szkodnik wykorzystywał też wtyczkę-rootkita, mającego ukryć nie tylko jego działalność, ale nawet same wpisy w Rejestrze Windows i stworzone pliki w systemie plików, oraz wtyczkę do sfałszowania wyników funkcji związanych z rozwiązywaniem domen. Eksperci CERT-u podkreślają, że cała operacja była dobrze przygotowana. Podobnie uważają autorzy Zaufanej Trzeciej Strony, pisząc:

Trzeba przyznać atakującemu, że wykonał kawał roboty. Na potrzeby tej kampanii zarejestrował kilka nie powiązanych ze sobą domen, które umieścił w różnych serwerowniach na całym świecie. Stworzył wiadomości poczty elektronicznej, dbając o ich adekwatność i wiarygodność w oczach odbiorców (nasz adwokat nie widział w nich niczego odbiegającego od normy). Posługiwał się w korespondencji dość fachowym językiem. Serwery skonfigurował tak, by zmaksymalizować prawdopodobieństwo, że jego wiadomość dotrze do odbiorcy. Kampanię prowadzi po cichu – nigdzie w sieci nie widać do tej pory jej śladów. Sam plik EXE też jest dość niecodzienny – jest standardowym instalatorem InstallShield, który zostawia na komputerze ofiary wtyczkę Microsoft Office do Firefoksa oraz oczywiście dodatkowe elementy.

Wygląda na to, że użyte w ataku oprogramowanie zostało zakupione na jakimś hakerskim forum – w Sieci już rok temu można było trafić na doniesienia o zastosowaniu SmokeLoadera. Pozostaje w tej sytuacji liczyć tylko na czujność użytkowników, gdyż większość programów antywirusowych do dziś kiepsko sobie radzi z wykryciem i zablokowaniem tego szkodnika.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.