Cofense (PhishMe) : pri sosedih Italijanih napadajo prejemnike e-pošte, ponarejena sporočila z DHL tematiko dostavljajo škodljivo kodo JavaScript

News.PhishMe.Slovenian

Nekaj zanimivih podrobnosti o e-poštnem napadu na italijansko govoreče uporabnike e-pošte. Napadeni so predvsem na uporabnike DHL storitev, prejemnika poskuša s socialnim inženiringom in poudarkom na nujnosti akcije pretentati v odpiranje škodljivega dela sporočila, katerega ponarejeni elementi izgledajo, kot da prihaja iz DHL. Primerek sporočila je na spodnji sliki.

Priponka je ZIP arhiv s škodljivo kodo v programskem jeziku JavaScript, ki se lahko sproži na operacijskem sistemu Windows s storitvijo WSH (Windows Script Host) engine. Koda pa je napisana precej zapleteno in nečitljivo, da se lahko izogne detekciji v varnostnih rešitvah, ki bi drugače kaj hitro prepoznale njen namen ali  skoraj 1000 URL naslovov, ki so sedaj neprepoznavni. Ta koda je pravzaprav samo ti. downloader, ki poskuša iz enega od teh naslovov prenesti trojanskega konja znanega pod imenom Ursnif/Gozi-ISFB, kar bo najbrž v zagonski datoteki s končnico .scr, ki je namenjena zaslonskim varčevalnikom. Ta je izvirno namenjen kraji bančnih in drugih osebnih podatkov, v tem primeru pa, kar so pri PhishMe zaznali sploh prvič, deluje tudi kot dodatni downloader za nameščanje še hujših škodljivcev. V enem primeru je recimo namestil spambot orodje, ki je pričelo pošiljati spam v italijanščini, maskiran kot romantično pismo.

Zanimivo in predvsem bizarno je, da se tekom napada oz. aktivnosti prenesene škodljive kode lahko izpisujejo opozorilna okna s sporočilom o napaki. To se dogaja takrat, ko JavaScript koda kontaktira URL naslove, najbrž zato, ker funkcija pričakuje nek odgovor, in ker nekateri naslovi niso (več) aktivni, ga ne dobi, zato se sproži izjema, ki znotraj koda ni prestrežena. To je precej bizarno, saj lahko taka napak v škodljivi kodi hitro povzroči odkritje okužbe s strani človeka, četudi je koda že pobegnila mimo samodejnih varnostnih rešitev.

Tukaj je en vzorec iz te škodljive programske kode JavaScript:

Ursnif spada v eno od najstarejših družin škodljive programske kode, v taki ali drugačni obliki razhaja že od leta 2007, v veliko različnih verzij in kopij se je razmnožil zato, ker je bila njegova izvorna koda nekje okoli leta 2010 pomotoma (ali morda celo namenoma) izpuščena v hekersko javnost. Ursnif v tem napadu je tretja, še posebej nevarna revizija te škodljive kode. Je zelo napredna in zmožna na različne načine odtujiti ogromne količine podatkov, preusmerjati opravila na straneh spletnega bančništva, ali kot smo videli tokrat, prenašati druge škodljive programe. Prenos dodatnih škodljivcev in napake v izvajanju JavaScript kode sta precejšnji odstopanji od drugače zelo izmuzljivih Ursnif napadov.

Zmogljivosti trojanskega konja Ursnif in njegovih variant:

  • Beleženje tipkanja – za zajem uporabniških imen, gesel in drugih podatkov
  • Zajemanje zaslonskih slik in videa
  • Odtujevanje podatkov – prestreženi prijavni podatki, ključi, žetoni, zaslonske slike, vsebina datotek idr.
  • Spreminjanje spletnih strani – vstavljanje škodljive kode v strani spletnih bank
  • Napadi tipa man-in-the-browser, to je vrsta man-in-the-middle napada, ki zlorabi varnostno pomanjkljivost spletnega brskalnika in spreminja med sem ter tja poslane informacije na način, ki je tako uporabniku kot spletnem strežniku popolnoma neviden
  • Nameščanje odjemalca za omrežje TOR
  • Oddaljeno upravljanje
  • Vstavljanje okužbe v posamezne datoteke
  • Napredno skrivanje z vrinjanjem lastne kode v legalne delovne procese
  • Postavitev SOCKs posrednika za prikrito tuneliranje podatkovnega prometa skozi lasten kanal
  • Blokiranje domen in URL naslovov
  • Kraja tekstovnih gesel iz mrežnega prometa
  • Manipuliranje programskih vmesnikov Windows API
  • Lastno posodabljanje in spreminjanje s ciljem čim daljšega obstoja v okuženem okolju
  • In še več…

Kot vidimo, so lahko okužbe tega tipa zelo nevarne za posameznika in organizacijo. Ursnif zagotovi hekerjem dostop do informacijskega okolja podjetja, kjer je lahko ostane skrit dolgo časa in se prilagaja novim varnostnim ukrepom, hkrati pa lahko ves čas prestreza in skozi neberljive kanale, kot so TOR ali HTTPS, odtujuje poslovne podatke, pridobi imena in gesla za druge načine vdiranja v sistem, ali pomaga posredovati dodatno škodljivo kodo, z okužbo datotek na deljenih datotečnih sistemih pa si omogoči razmnoževanje po vsej organizaciji.

Da preprečimo tako katastrofalno okužbo moramo vzpostaviti večplastno varnostno strategijo, vključno s filtriranjem e-poštne vsebine in prilepljenih datotek glede na vrsto vsebine, zaščito na prehodu omrežja, napredne analitične tehnologije tipa sandboxing ter emulacij na perimetru in končnih točkah ter – morda najbolj kritično – osebje, ki se zaveda (ne)varnosti in je zmožno prepoznati in prijaviti sumljive priloge sporočil elektronske pošte.

Mimogrede, PhishMe je sedaj Cofense… o tem pa kdaj drugič.

Avtor / prevod: Robert Lubej

Podrobnosti na blogu:

https://phishme.com/italian-dhl-themed-phishing-leads-ursnif-spambot/