Poniedziałkowa beletrystyka, czyli nieostrożny haker i wyrafinowany malware

La_Citrix (nieostrożny haker)

Używając internetowego pseudonimu „La_Citrix”, cyberprzestępca aktywnie działa na rosyjskojęzycznych forach hakerskich od 2020 roku. Oferuje dostęp do infrastruktury skompromitowanych firm oraz skradzionych informacji.

Hudson Rock w swojej notatce twierdzi, że odkrył działalność La_Citrix, kiedy ten włamywał się do nieokreślonej w publikacji organizacji. Celem hakera były serwery Citrix, VPN i RDP, do których teraz sprzedaje nielegalny dostęp.

Przestępca, jak twierdzi firma zajmująca się cyberbezpieczeństwem, był na tyle nieostrożny, że zainfekował własny komputer narzędziem do kradzieży informacji i sprzedał dostęp do swojej maszyny. Pozwoliło to firmie Hudson Rock zbadać urządzenie używane do przeprowadzania włamań do setek firm. Sprzęt zawierał poświadczenia pracowników w prawie 300 organizacjach, a przeglądarka przechowywała poświadczenia korporacyjne używane do przeprowadzania włamań.

Według Hudson Rock, La_Citrix zatrudniał osoby kradnące informacje w celu eksfiltracji danych uwierzytelniających firmy, które były następnie wykorzystywane do uzyskiwania dostępu do sieci organizacji bez autoryzacji. Dalsza analiza komputera cyberprzestępcy pomogła firmie odkryć również ich prawdziwą tożsamość i lokalizację.

„Dane z komputera La_Citrix, takie jak zainstalowane oprogramowanie, ujawniają prawdziwą tożsamość hakera, jego adres, numer telefonu i inne obciążające dowody, takie jak qTox, znany komunikator używany przez grupy ransomware, instalowany na komputerze”, twierdzi dalej Hudson Rock w swojej notce.

Zresztą La_Citrix nie jest podobno osamotniony. Izraelska firma twierdzi, że ma wiedzę o tysiącach hakerów, którzy przypadkowo zainfekowali swoje komputery złośliwym oprogramowaniem i oczywiście przekaże odkryte dowody odpowiednim organom ścigania.

„To nie pierwszy raz, gdy zidentyfikowaliśmy hakerów, którzy przypadkowo zostali narażeni na szwank przez osoby kradnące informacje, i spodziewamy się, że liczba infekcji takich osób będzie rosła wykładniczo” — chwali się dalej izraelska firma.

Mystic Stealer (wyrafinowany malware)

Zgodnie z ostrzeżeniem firmy Cyfirm, nowe złośliwe oprogramowanie do kradzieży informacji szybko staje się popularne wśród hakerów na znanych podziemnych forach. Mystic Stealer po raz pierwszy wykryto w kwietniu 2023 r., kiedy zostało udostępnione doświadczonym cyberprzestępcom do testów.

Badacze Cyfirm śledzący ewolucję złośliwego oprogramowania odkryli, że programista zaktualizował narzędzie do kradzieży informacji w oparciu o opinie, co doprowadziło do gwałtownego wzrostu rozpowszechniania, przy czym do tej pory zidentyfikowano ponad 50 aktywnych serwerów dowodzenia i kontroli (C&C).

Napisany w C i przeznaczony dla systemu Windows Mystic Stealer wykorzystuje manipulację kodem i działa w pamięci, aby uniknąć wykrycia. Oprogramowanie posługuje się wywołaniami systemowymi i właśnie to pozwala mu uniknąć pozostawiania śladów infekcji.

Opisywany malware nie korzysta z bibliotek innych firm, zawiera samodzielnie napisany parser bazy danych przeglądarki i został zaprojektowany do wyszukiwania interesujących danych przed kompresją, szyfrowaniem i eksfiltracją.

Deweloper Mystic Stealer zapewnia cyberprzestępcom również narzędzie do kastomizacji, które można wdrożyć na ich własnym serwerze w celu dostosowania złośliwego oprogramowania do ataków. Panel C&C daje użytkownikom Mystic Stealer kontrolę nad złośliwym oprogramowaniem i procesem gromadzenia danych.

Według Cyfirmy program jest w stanie przejąć hasła, pliki cookie, karty kredytowe i inne informacje z przeglądarek i rozszerzeń portfela kryptowalut, hasła i pliki Outlook, a także może robić zrzuty ekranu i gromadzić informacje systemowe.

Mystic Stealer to wyrafinowane złośliwe oprogramowanie ewoluujące w oparciu o zalecenia otrzymane od znanych cyberprzestępców, przez co może stać się poważnym zagrożeniem dla firm zajmujących się danymi osobowymi i dokumentacją finansową, w tym firm zajmujących się opieką zdrowotną, finansami i technologiami.

„Oprócz tego Mystic Stealer jest skierowany w szczególności do osób zaangażowanych w transakcje kryptowalutowe. Obejmuje to użytkowników portfeli kryptowalut, handlowców i osoby zajmujące się »wydobyciem«. Złośliwe oprogramowanie ma na celu kradzież portfeli kryptowalut, kluczy prywatnych lub danych logowania w celu uzyskania nieautoryzowanego dostępu do tych zasobów” – zauważa Cyfirma.

Podsumowanie

Oczywiście z tych dwóch pozornie niezwiązanych ze sobą historii każdy może wyciągnąć własne wnioski. Dla nas zastanawiające jest przede wszystkim to, jak zmienia się krajobraz cyberprzestępczy. Ewolucja następuje od hakerów „samotnych wilków” – niepowiązanych z nikim samotników – do prawdziwych grup fokusowych na forach w darknecie, które wpływają na kształt projektowanych aplikacji do kradzieży informacji. I właśnie ta „profesjonalizacja” działań przestępczych może być wbrew pozorom pomocna, bo czasem na tacy dostajemy listę współpracowników – tak jak w przypadku La_Citriksa.