Výskumníci z Cisco Talos upozornili na kampaň, ktorá zasiahla najmä pracovné prostredie v susednom Česku. Stojí za ňou doteraz neznámy botnet s názvom PowMix. Na prvý pohľad ide o obyčajný dokument alebo pracovnú ponuku, no v skutočnosti však môže ísť o vstupnú bránu pre škodlivý kód, ktorý si potichu prevezme kontrolu nad počítačom.
Útočníci cielili hlavne na HR oddelenia, právnikov či náborové agentúry. Použili pritom jednoduchý, ale účinný trik, dôveryhodne vyzerajúce dokumenty. Tvárili sa ako oficiálne materiály s odkazmi na legislatívu alebo známu značku EDEKA. Pridali aj konkrétne údaje o platoch či právnych povinnostiach, aby text pôsobil autenticky.
Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ
Stačí pritom otvoriť ZIP súbor a v ňom skrytú skratku (.LNK). Tá následne spustí PowerShell skript, ktorý rozbehne celý útok.
„Útok začína spustením skratky zo ZIP súboru, často doručeného cez phishing,“ vysvetľujú výskumníci.
Útok vypne obranu Windowsu a pripraví si prostredie na ďalšie kroky
Skript sa najskôr presunie do systémového priečinka a pripraví prostredie. Následne obíde bezpečnostné mechanizmy Windowsu. Konkrétne upraví internú kontrolu tak, aby systém „uveril“, že ochrana pred škodlivým kódom nefunguje. V tej chvíli má útočník otvorené dvere.
Hlavná časť útoku prichádza hneď po príprave prostredia. PowMix sa nespustí ako klasický program uložený na disku. Beží priamo v operačnej pamäti RAM. To znamená, že na pevnom disku nevzniknú bežné súbory, ktoré by antivírus pri skenovaní našiel.
Populárna spravodajská aplikácia pre iOS a Android dostala veľkú aktualizáciu. Pribudlo množstvo nových funkcií, ktoré musíš vyskúšať
Útočníci tak zneužijú vlastné nástroje systému, konkrétne PowerShellu, proti nemu samotnému. PowMix následne vytvorí naplánovanú úlohu, ktorá ho každý deň znovu spustí. Bezpečnostní analytici pritom upozorňujú na načasovanie spustenia malvéru, často okolo 11:00 dopoludnia. V tom čase je sieťová prevádzka najhustejšia, takže jeho komunikácia ľahšie zapadne medzi bežné dáta.
Keď sa raz usadí, začne nenápadne komunikovať so serverom útočníka. Namiesto trvalého spojenia sa ozýva v nepravidelných intervaloch, raz po pár sekundách, inokedy po niekoľkých minútach. Tento „náhodný rytmus“ sťažuje odhalenie.
Výskumníkov taktiež zaskočil spôsob, akým sa skrýva v sieti. PowMix využíva legitímne cloudové služby, napríklad Heroku. Pre firewall ide o bežnú komunikáciu so známou platformou, ktorú využíva množstvo firiem. Útočníci sa tak neskrývajú v tieni, ale priamo „pod lampou“, pričom ich dáta sa tvária ako normálna webová prevádzka. Do URL adries zakódujú informácie o zariadení a stave systému, takže komunikácia vyzerá ako bežné API volanie.
„Malvér maskuje komunikáciu ako legitímnu webovú prevádzku,“ upozorňujú výskumníci.
Ak hrozí odhalenie, botnet sa dokáže vymazať a zahladiť po sebe stopy
PowMix dokáže aj reagovať na príkazy. Útočník môže meniť riadiaci server, spúšťať ďalší kód alebo úplne vymazať stopu. V niektorých prípadoch odstráni sám seba, aby nezanechal dôkazy.
Zdroj: Vosveteit.sk
Pre bežného používateľa sa tieto útoky dajú rozpoznať podľa niekoľkých varovných signálov. Podozrivé je už samotné doručenie dokumentov, napríklad materiály o platoch, GDPR alebo interných pravidlách by sa nikdy nemali objaviť ako skratka (.LNK) ukrytá v ZIP archíve.
Ďalší dôležitý moment nastáva priamo po otvorení súboru, keď sa na krátky okamih objaví čierne okno príkazového riadku alebo PowerShellu. To často znamená, že sa na pozadí spustil skript, ktorý si bežný používateľ ani nevšimne. Zvláštne správanie môže ukázať aj samotný počítač, ak začne vykazovať aktivitu, hoci nič nespúšťaš, napríklad vyššie zaťaženie alebo sieťovú komunikáciu v „tichom“ režime, ide o signál, že niečo beží skryto na pozadí.
„Aj keď vidíme podobnosti so staršími kampaňami, finálny cieľ zatiaľ nie je jasný,“ uvádzajú výskumníci z Cisco Talos.
To znamená, že útočníci si môžu budovať prístup do systémov bez okamžitého využitia. Keďže ide o botnet, v budúcnosti by mohli útočníci armádu infikovaných zariadení využiť napríklad na DDoS útoky. Zároveň však môžu jednotlivé infikované zariadenia prenajímať ako proxy, teda umožnia iným hackerom vykonávať cez ne útoky a tým maskovať svoju stopu.
Páčil sa vám článok? Sledujte nás na Facebooku