Na naszym portalu wielokrotnie piszemy o malware, który wykorzystuje legalne elementy środowiska informatycznego. Piszemy o tym i pisać będziemy, bo zmienić się musi podejście do postrzegania cyberbezpieczeństwa. Szczególnie w firmach i dużych organizacjach. Myślenie o bezpieczeństwie tylko w kontekście antywirusa (który oczywiście jest niezbędny) jest trochę strzałem w stopę. Cyberprzestępcy zaczęli profesjonalizować narzędzia, udostępniać je w modelach podobnych do sprzedaży legalnego oprogramowania i korzystać z marketingu szeptanego by podbijać sprzedaż. Dzisiaj opiszemy dwa takie przypadki.
Remcos RAT
Badacze bezpieczeństwa z firmy Anomali właśnie odkryli kampanię wykorzystującą platformę Microsoft Build Engine (MSBuild) do bezplikowego dostarczania złośliwego oprogramowania.
MSBuild jest platformą kompilacji dla Microsoft i Visual Studio, ma funkcję, która pozwala programistom określić, który kod ma być wykonywany w pamięci, a hakerzy wykorzystali to w nowej kampanii bez plikowego dostarczania złośliwych ładunków.
Ataki, które trwały w zeszłym tygodniu, prawdopodobnie rozpoczęły się w kwietniu. W ramach kampanii cyberprzestępcy zakodowali pliki wykonywalne i kod w złośliwych plikach MSBuild i umieścili je na rosyjskiej witrynie hostingowej joxi[.]Net.
Badacze, którzy ujawnili, że większość analizowanych plików projektu MSBuild (.proj) używanych w tych atakach miała dostarczyć Remcos RAT jako ostateczny ładunek, długo nie mogli zidentyfikować sposobu, w jaki te pliki były dystrybuowane. Okazuje się, że do wykonania skryptu VBscript w celu uruchomienia pliku .proj używane jest legalne narzędzie Mshta, a plik skrótu (.lnk) jest dodawany do folderu startowego.
Remcos RAT dostarczony w ramach tych ataków może zostać wykorzystany do zdalnego przejęcia pełnej kontroli nad zainfekowanymi komputerami. Oprogramowanie, napisane w C ++, zawiera funkcje anty-antywirusowe, może zbierać dane uwierzytelniające i informacje systemowe, rejestrować naciśnięcia klawiszy, przechwytywać ekran, a także może wykonywać skrypty.
RedLine Stealer, który jest napisany w .NET, został zaprojektowany z szerokimi możliwościami kradzieży danych, ukierunkowanymi plikami cookie, danymi uwierzytelniającymi do różnych aplikacji i usług, krypto-portfelami, informacjami przechowywanymi w przeglądarkach internetowych i danymi systemowymi.
Anomali powiedział, że nie był w stanie określić, kto stoi za atakami, ponieważ RemcosRAT i RedLine Stealer to „towarowe szkodliwe oprogramowanie”.
„Aktorzy zagrożeń stojący za tą kampanią wykorzystali dostarczanie bez plikowe jako sposób na ominięcie środków bezpieczeństwa, a ta technika jest wykorzystywana przez aktorów do różnych celów i motywacji. Kampania podkreśla, że poleganie na samym oprogramowaniu antywirusowym jest niewystarczające do cyber-obrony, a użycie legalnego kodu do ukrycia złośliwego oprogramowania przed technologią antywirusową jest skuteczne i rośnie wykładniczo” – podsumowuje Anomali.
Rogue RAT
Inną grupę oferującą malware w modelu biznesowym odkryli badacze z Check Point. Jest to trojan mobilnego dostępu zdalnego (MRAT). Może przejąć kontrolę nad zainfekowanymi urządzeniami z Androidem i wydobyć dane użytkownika. Nazwany został Rogue i podobno jest dziełem Triangulum i HeXaGoN Dev, znanych projektantów szkodliwego oprogramowania dla Androida, którzy od kilku lat sprzedają swoje produkty w darknecie.
Według Check Pointa, Triangulum po raz pierwszy udostępnił mobilny RAT na ciemnym forum internetowym w czerwcu 2017 r. Zagrożenie było zdolne do eksfiltracji danych, ale mogło również zniszczyć dane lokalnie, a nawet usunąć system operacyjny.
Deweloper zaczął sprzedawać mobilne szkodliwe oprogramowanie kilka miesięcy później, a po roku dodał do swojego portfolio kolejne. Bardzo aktywny, prawdopodobnie stworzył „dobrze działającą linię produkcyjną do rozwoju i dystrybucji złośliwego oprogramowania” – twierdzi Check Point.
Przy tworzeniu Rogue autor szkodliwego oprogramowania najwyraźniej współpracował z firmą HexaGoN Dev, która specjalizuje się w tworzeniu systemów RAT dla Androida. Wcześniej Triangulum kupowało projekty od NexaGoN Dev.
„Połączenie umiejętności programowania HeXaGon Dev i umiejętności marketingu społecznościowego Triangulum wyraźnie wzmocniło zagrożenie” – zauważają badacze bezpieczeństwa firmy Check Point.
Gdy uda mu się złamać zabezpieczenia urządzenia i uzyska wszystkie niezbędne uprawnienia, Rogue RAT ukrywa swoją ikonę przed użytkownikiem, aby upewnić się, że nie można go łatwo usunąć. Złośliwe oprogramowanie wielokrotnie prosi o uprawnienia, dopóki użytkownik ich nie udzieli. Rejestruje się również jako administrator urządzenia i grozi usunięciem wszystkich danych, jeśli użytkownik spróbuje cofnąć swoje uprawnienia administratora, wyświetlając następujący komunikat na ekranie: „Czy na pewno wyczyścisz wszystkie dane?”
Aby ukryć swoje złośliwe zamiary, Rogue wykorzystuje platformę Google Firebase, udając legalną usługę Google. Usługi Firebase służą jako serwer dowodzenia i kontroli (C&C), co oznacza, że wszystkie polecenia i eksfiltracja danych są wykonywane przy użyciu infrastruktury Firebase.
Spośród dziesiątek usług udostępnianych przez Google Firebase programistom aplikacji Rogue używa „Cloud Messaging” do odbierania poleceń, „Realtime Database” do przesyłania danych i „Cloud Firestore” do przesyłania plików.
„Historia szkodliwego oprogramowania Rogue jest przykładem tego, jak można wykorzystać urządzenia mobilne. Podobnie jak Triangulum, inni aktorzy doskonalą swoje rzemiosło i sprzedają mobilne złośliwe oprogramowanie w ciemnej sieci – musimy więc zachować czujność na nowe zagrożenia” – podsumowuje Check Point.