Kolejna kampania hakerów. Na celowniku administratorzy systemów

Nie ma tygodnia, aby nie pojawiły się doniesienia o kolejnej operacji prowadzonej przez hakerów, która ma na celu sparaliżowanie pracy podmiotów, kradzież danych bądź uzyskanie okupu. Jak podawaliśmy na łamach CyberDefence24, w ostatnim czasie miało miejsce kilka sytuacji tego typu – sprawcy zaczęli atakować za pośrednictwem aplikacji pulpitu zdalnego, zaś w kwietniu ofiarą ich ataków padł niemiecki gigant.

Zdarzają się również dość nietypowe sytuacje. W połowie maja na jednym z forów hakerskich ukazała się oferta sprzedaży kodu źródłowego ransomware. Cenę określono na 300 tys. dolarów, ale tylko trzy osoby mogły dokonać transakcji.

Kolejna odsłona malvertisingu

W ostatnich dniach ruszyła nowa akcja hakerów, tym razem na ich celowniku znaleźli się administratorzy systemów w przedsiębiorstwach. Jak informuje serwis BleepingComputer, ponownie wykorzystuje pozycjonowanie wyników w wyszukiwarce Google.

Jeżeli użytkownik wpisze frazę dotyczącą pobrania PuTTY lub WinSCP, na szczycie listy wyników pojawią się rezultaty sponsorowane, czyli po prostu reklamy. Cyberprzestępcy wykorzystują ten fakt, przygotowując strony podszywające się pod prawdziwe źródła programów, wgrywają na nie złośliwe oprogramowanie, a na koniec opłacają kampanię reklamową. Dzięki temu ich fałszywa strona znajduje się nad prawdziwą na liście wyników – do tej drugiej trzeba niestety przewinąć stronę w dół. Jest to zatem klasyczny przykład malvertisingu.

Oprócz programu, nieprzyjemna niespodzianka

Na fałszywych stronach udostępniono plik .zip, który zawiera plik wykonywalny Setup.exe. Problem polega na tym, że oprócz instalacji autentycznego PuTTY bądź WinSCP, wczytuje również złośliwy plik .dll, który wykonuje kod Pythona i rozpoczyna infekcję systemu oraz sieci.

Ostatecznie, efektem działania trojana jest instalacja toolkitu Sliver, który umożliwia zdalne rozprzestrzenianie kolejnych złośliwych elementów w sieci konkretnego podmiotu – na liście podanej przez Rapid7 pojawiły się Restic, Cobalt Strike oraz ransomware.

Wieloletni problem

Kampania hakerska wykorzystująca mechanizm reklam w wynikach wyszukiwania Google nie jest nowością. Dotknęła już wielu popularnych programów: od menedżera haseł Keepass, przez edytor tekstu Notepad++ i 7-Zip, po odtwarzacz VLC i nawet klienta μTorrent. Tego typu akcje rozpoczęły się kilka lat temu i nie wygląda na to, żeby ich popularność miała spaść.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].