Holy Water – nowy rodzaj cyberataku

Badacze z firmy Kaspersky wykryli kampanię cyberprzestępczą, która była wymierzona w użytkowników z Azji. Cyberprzestępcy złamali zabezpieczenia ponad 10 legalnych stron internetowych związanych z religią, wolontariatem, działalnością charytatywną oraz kilkoma innymi obszarami. Do ataku zastosowali oni kreatywny zestaw narzędzi.

Metoda "przy wodopoju" to nazwa strategii ataków ukierunkowanych polegającej na tym, że cyberprzestępcy łamią zabezpieczenia stron internetowych uznanych za popularne wśród potencjalnych ofiar i czekają, aż umieszczone na nich szkodliwe oprogramowanie trafi na komputery użytkowników. Aby być narażonym na infekcję szkodliwym oprogramowaniem, wystarczy, że użytkownik odwiedzi stronę, przy której majstrowali cyberprzestępcy. Z tego powodu atak ten jest łatwy do rozprzestrzeniania, a tym samym bardziej niebezpieczny. W kampanii, której badacze z firmy Kaspersky nadali nazwę Holy Water, "wodopoje" zostały przygotowane na stronach internetowych należących do sławnych osób, podmiotów publicznych, organizacji charytatywnych oraz na innych zasobach.

Reklama

Omawiany wieloetapowy atak wyróżnia się ze względu na swoją szybką ewolucję od momentu powstania, jak również szeroki zakres wykorzystywanych narzędzi. Po otwarciu przez użytkownika jednej z zaatakowanych stron zainfekowany wcześniej zasób ładuje zaciemniony szkodliwy JavaScript, który gromadzi informacje na temat odwiedzającego. Następnie serwer zewnętrzny ustala, czy taka osoba stanowi cel ataku. Jeśli tak, następuje drugi etap, w którym zostaje załadowana wtyczka wyświetlająca fałszywe okienko wyskakujące aktualizacji Adobe Flash.

Cyberprzestępcy liczą na to, że osoba ta da się złapać w pułapkę i pobierze pakiet szkodliwych instalatorów, który zainstaluje w systemie tylną furtkę (tzw. backdoora) o nazwie "Godlike12", zapewniając tym samym atakującym pełny zdalny dostęp do zainfekowanego urządzenia, umożliwiając im modyfikowanie plików, przechwytywanie poufnych danych z komputera, rejestrowanie aktywności na komputerze itd. W ataku wykorzystywany jest również inny backdoor - zmodyfikowana wersja dostępnego powszechnie szkodnika Stitch. Trojan ten ustanawia bezpośrednie połączenie z serwerem kontrolowanym przez cyberprzestępców w celu wymiany zaszyfrowanych danych.

Fałszywe okienko wyskakujące Adobe Flash było powiązane z plikiem wykonywalnym przechowywanym w serwisie github.com pod przykrywką pliku aktualizacji wtyczki Flash. Organizacja GitHub zablokowała to repozytorium 14 lutego 2020 r. po tym, jak skontaktowała się z nią firma Kaspersky, przerywając tym samym łańcuch infekcji w ramach kampanii. Niemniej jednak repozytorium to było dostępne online przez ponad 9 miesięcy, w wyniku czego badacze zdołali uzyskać unikatowy wgląd w aktywność oraz narzędzia cyberprzestępców.

Opisywana kampania wyróżnia się na tle innych ze względu na swój niski budżet i nie w pełni rozwinięty zestaw narzędzi, który kilkakrotnie w ciągu kilku miesięcy został zmodyfikowany. Według badaczy z firmy Kaspersky, atak ten jest prawdopodobnie dziełem niewielkiego, elastycznego zespołu.

INTERIA.PL/informacje prasowe
Dowiedz się więcej na temat: cyberbezpieczeństwo | Kaspersky | bezpieczeństwo
Reklama
Reklama
Reklama
Reklama
Reklama