Cyberbezpieczeństwo
Malware zamiast gry z postacią anime. Nowa kampania cyberprzestępców
Autor. Sean Do/Unsplash
Nieuważni gracze stali się nowym celem aktorów zagrożeń. Tym razem, chcąc pobrać narzędzie do instalacji lub aktualizacji gry komputerowej, mogą nieświadomie zainstalować na swoim sprzęcie malware, umożliwiając tym samym kradzież danych hakerowi.
Wielokrotnie w sieci pojawiały się apele, aby pobierać oprogramowanie wyłącznie z zaufanych źródeł. Dotyczy to bezwzględnie każdego typu programu – jak opisywaliśmy, cyberprzestępcy upodobali sobie chociażby system reklam w wyszukiwarce Google, aby podstawione przez nich strony ze złośliwą zawartością wyświetlały się powyżej prawdziwych.
Czytaj też
Atak z grami w tle, ale celem sektor edukacji
Eksperci z FortiGuard Labs zidentyfikowali kampanię, w której aktorzy wykorzystują malware Winos4.0 do przejmowania kontroli nad systemami operacyjnymi. Według organizacji, jest to przebudowany Gh0strat.
Atakujący zdecydowali się na zamaskowanie złośliwego programu jako narzędzia do gier wywodzących się z Japonii. Jest to o tyle ciekawe, że zawartość plików .dll – a konkretnie ich opisy i nazwy - wskazywałaby na wycelowanie ataku w sektor edukacji.
Czytaj też
Pliki zaszyfrowane w fałszywych obrazkach
Nietrudno się domyślić, że uruchomienie aplikacji – czy to rzekomo mającej na celu instalację, bądź aktualizację gry – kończy się ściągnięciem fałszywego pliku .bmp, w którym zakodowany jest .dll. Odpowiada on za pobranie trzech kolejnych fałszywych .bmp, zawierających tym razem po jednym pliku .tmp.
Wypakowywane są również kolejne złośliwe elementy, obejmujące m.in. plik wykonywalny .exe czy kilka sztuk .dll. W końcu, za pomocą shellcode otrzymanego z jednego z plików, zostają pobrane i uruchomione moduły Winos4.0. Umożliwiają one m.in. zbieranie informacji o systemie i ściąganie z niego plików, monitoring schowka lub sprawdzenie obecności antywirusa oraz portfela kryptowalut.
Czytaj też
Wystarczą zaufane źródła
Zdaniem FortiGuard Labs, Winos4.0 jest podobny do Cobalt Strike’a oraz Slivera. Cały atak wykorzystuje szyfrowanie danych oraz komunikację C2.
Zalecenie dla użytkowników (i graczy), którzy nie chcą stać się celem ataku jest proste: aplikacje należy pobierać wyłącznie z zaufanych i zweryfikowanych źródeł - niezależnie od tego, czy chodzi o program biurowy, czy o aplikację z postaciami podobnymi do tych znanych z anime i mangi.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
