Nová kybernetická kampaň, ktorú zachytil tím Microsoft Defender, ukazuje, ako málo dnes stačí na problém. Útočníci si nevyberajú exotické cesty, využijú bežnú komunikáciu cez WhatsApp a spoliehajú sa na to, že im používateľ otvorí dvere sám.

Útok prichádza ako správa s prílohou. Najčastejšie ide o súbor s koncovkou .vbs, teda Visual Basic Script. Ide o je jednoduchý skriptovací jazyk vo Windows, ktorý slúži na automatizáciu úloh, napríklad správu súborov alebo spúšťanie príkazov. Používa sa najmä v administrácii systémov, ale útočníci ho často zneužívajú na spúšťanie škodlivého kódu. Nepôsobí nebezpečne, pretože nejde o klasický program (.exe), ktorý by väčšina systémov automaticky blokovala.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

A práve to je trik. VBS súbor je len text s príkazmi, nemá „telo“ vírusu. Skutočný malvér sa stiahne až po jeho spustení. Útočníci tak obídu filtre a spoliehajú sa na to, že skript prejde ako bežný nástroj na automatizáciu.

WhatsApp VBScript MSI backdoorsWhatsApp VBScript MSI backdoorsZdroj: microsoft.com, proces infekcie zariadenia
Kyberzločinci podcenili jeden aspekt bezpečnosti

Po spustení skript vytvorí skryté priečinky v systéme a začne kopírovať legitímne Windows nástroje, napríklad curl.exe alebo bitsadmin.exe. Následne ich premenuje na niečo, čo pôsobí nenápadne, napríklad netapi.dll alebo sc.exe.

Na prvý pohľad to vyzerá ako bežná súčasť systému. Problém je, že každý takýto súbor má v sebe uložené pôvodné meno, tzv. OriginalFileName. A tu vzniká rozpor. Ak sa súbor volá netapi.dll, ale v jeho „vnútri“ je zapísané curl.exe, moderné bezpečnostné systémy to vyhodnotia ako podozrivé. Ide o jeden z dôvodov, prečo pokročilé riešenia dokážu tento útok odhaliť.

Neprehliadni

Tvoje spravy spravodajska aplikacia_2Tvoje spravy spravodajska aplikacia_2

Populárna spravodajská aplikácia pre iOS a Android dostala veľkú aktualizáciu. Pribudlo množstvo nových funkcií, ktoré musíš vyskúšať

Útočníci však rátajú s tým, že nie každý systém kontroluje tieto detaily.

WhatsApp hackerWhatsApp hackerZdroj: pixabay.com (B_A), úprava Vosveteit.sk

Po prvotnom prieniku začne skript sťahovať ďalšie súbory. Nejde však o klasické podozrivé servery. Útočníci využívajú legitímne služby ako Amazon Web Services, Tencent alebo Backblaze. To znamená, že škodlivá aktivita splýva s bežnou firemnou komunikáciou. Pre bezpečnostné systémy je oveľa ťažšie ju odhaliť.

„Útočníci kombinujú dôveryhodné platformy s legitímnymi nástrojmi, aby znížili viditeľnosť útoku,“ uvádza analýza.

Hackeri vypnú túto funkciu, vďaka čomu môžu fungovať nenápadne

V ďalšom kroku sa malware zameria na User Account Control (UAC), teda ochranu, ktorá sa ťa pýta, či súhlasíš s administrátorskými zmenami. Útočníci sa snažia upraviť konkrétne nastavenie v registroch (napríklad ConsentPromptBehaviorAdmin). Ak sa im to podarí, systém prestane zobrazovať varovania.

Po vypnutí UAC škodlivé operácie prebehnú bez toho, aby sa ti objavilo klasické varovanie, kde musíš potvrdiť, že chceš spustiť neoverený proces, ktorý môže zmeniť nastavenia v tvojom počítači. Inštalácia programov, zmeny v systéme alebo prístup k citlivým dátam prebehnú potichu na pozadí. Ak sa ti niekedy zdá, že Windows sa zrazu pýta na povolenia menej často než predtým, nemusí to byť náhoda.

Viac ako 130 chrome rozšírení šíri whatsapp spam kampaňViac ako 130 chrome rozšírení šíri whatsapp spam kampaňZdroj: AI, Wikimedia (WhatsApp) Úprava: Vosveteit.sk
V tomto momente útočníci získajú plnú kontrolu

Na konci útoku sa nainštalujú MSI balíky, teda klasické inštalačné súbory. Vyzerajú legitímne, ale nemajú dôveryhodný podpis.

Obsahujú nástroje ako AnyDesk, ktoré útočníkovi umožnia vzdialený prístup. Od tej chvíle môže sledovať, čo robíš, kopírovať dáta alebo použiť počítač ako súčasť väčšej siete napadnutých zariadení.

Celý útok stojí na kombinácii troch kľúčových vecí. Útočníci najprv využijú dôveru v známe aplikácie, ako je WhatsApp, čím zvýšia šancu, že používateľ otvorí prílohu bez podozrenia. Následne siahnu po legitímnych nástrojoch systému Windows, ktoré len premenujú a zneužijú na vlastné účely, takže ich aktivita pôsobí ako bežná súčasť systému. Celý proces prebieha nenápadne, bez výrazných varovaní, čo im umožní zostať čo najdlhšie skrytí.

Nejde o hlučný vírus. Ide o tichý proces, ktorý splýva s bežným chodom počítača.

Na toto správanie si daj pozor

Najslabší článok zostáva človek. Stačí jeden klik na nesprávny súbor. Ak dostaneš prílohu cez WhatsApp, aj od známeho kontaktu, oplatí sa overiť si, či je bezpečná. Zároveň má zmysel sledovať podozrivé správanie systému, napríklad neznáme súbory v ProgramData alebo zvláštne názvy procesov. Niektoré menej sofistikované malvéry sa prejavia spomalením počítača. Zistíš to napríklad cez Správcu úloh, kde uvidíš procesor vyťažený na 100%.

Windows Spravca ulohWindows Spravca ulohZdroj: Vosveteit.sk

Táto kampaň ukazuje, že moderné útoky už nevsádzajú na silu, ale na nenápadnosť. Útočníci sa nesnažia systém rozbiť, snažia sa v ňom nenápadne zostať.

„Kombinácia legitímnych nástrojov a dôveryhodných služieb zvyšuje šancu na úspech útoku,“ upozorňuje Microsoft.

Bezpečnosť tak dnes nestojí len na technológii. Veľká časť závisí od toho, čo otvoríš a čomu veríš.







Páčil sa vám článok? Sledujte nás na Facebooku