Cyberbezpieczeństwo
Ściągnąłeś Sapera? To może być cyberatak
Autor. Arnold Francisca/Unsplash
Metody ataków stosowane przez cyberprzestępców potrafią w niektórych przypadkach zadziwić. Ukraińskie zespoły cyberbezpieczeństwa odkryły, że w operacji skierowanej w zachodnie instytucje finansowe wykorzystywany jest trojan zaszyty w klonie… gry Saper.
Nie jest niczym nowym, że cyberprzestępcy wykorzystują reputację znanych programów poprzez udostępnianie instalatorów, które oprócz samego programu zawierają także złośliwe oprogramowanie.
Na łamach serwisu CyberDefence24 opisywaliśmy przypadek, gdy atakujący za pomocą malvertisingu (wykorzystywanie reklam internetowych do rozprzestrzeniania złośliwego oprogramowania - red.) podszywali się pod aplikacje dla deweloperów w celu rozprzestrzeniania ransomware.
Czytaj też
Atak z wykorzystaniem klona Sapera
Jak opisuje serwis BleepingComputer, ukraińskie zespoły CSIRT-NBU (CSIRT-u Narodowego Banku Ukrainy) oraz CERT-UA wykryły działania - którym nadano sygnaturę „UAC-0188” - wymierzone w instytucje finansowe w Europie oraz Stanach Zjednoczonych. Narzędziem - podobnie jak w przypadku wspomnianych aplikacji dla deweloperów, są instalatory popularnego programu.
Dużą różnicą jest jednak zawartość instalatora. W tym przypadku bowiem jest to klon gry Saper napisany w Pythonie. Dołączone do niego są także skrypty odpowiedzialne za pobranie i instalację SuperOps RMM, aplikacji umożliwiającej zdalny monitoring i zarządzanie komputerem, na którym się znajduje.
Czytaj też
Aplikacja RMM zamiast gry lub dokumentacji medycznej
Atakujący rozsyła link do instalatora za pośrednictwem wiadomości e-mail, podszywając się pod ośrodek służby zdrowia. Sam link do pobrania instalatora ma rzekomo prowadzić do pobrania dokumentacji medycznej danej osoby lub podmiotu – w rzeczywistości jest jednak inaczej.
Dlaczego jednak atakujący zdecydował się na klona gry Saper? Otóż służy on jedynie jako „przykrywka” dla złośliwego kodu, dzięki czemu oprogramowanie antywirusowe nie będzie mogło zneutralizować zagrożenia w porę. Sam instalator programu RMM jest zakodowany w base64, a za zdekodowanie i wykonanie odpowiada funkcja create\_license\_ver w kodzie Sapera.
Ukraiński zespół CERT wskazuje, że wykrycie cyberataku w podmiotach niewykorzystujących programu SuperOps jest możliwe w jeden sposób. Trzeba monitorować, czy nie są nawiązywane połączenia z serwerami superops.ai lub superops.com.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
