10
Cz, Lip
Polski Manager nr. 4/2024

Typografia
  • Najmniejsza Mała Średnia Większa Największa
  • Obecna Helvetica Segoe Georgia Times

Badacze z Cisco Talos odkryli nową kampanię cyberprzestępczą, która od lipca 2024 roku atakuje użytkowników w Polsce i Niemczech. Cyberprzestępcy wykorzystują socjotechnikę, podszywając się pod zaufane instytucje oraz firmy działające w sektorach finansowym, produkcyjnym i logistycznym. Celem ataków jest uzyskanie dostępu do systemów ofiar oraz wyłudzenie danych lub przejęcie kontroli nad urządzeniami.

Kampania ta opiera się na wysyłaniu phishingowych wiadomości e-mail, które wyglądają jak autentyczne potwierdzenia zamówień lub przelewów finansowych. W rzeczywistości wiadomości te zawierają złośliwe załączniki, których otwarcie prowadzi do infekcji urządzenia.

Analiza przeprowadzona przez Cisco Talos wskazuje, że główną motywacją stojącą za tymi działaniami są korzyści finansowe. Istnieją przesłanki sugerujące, że ataki mogły zostać starannie zaplanowane, a ich zasięg może wykraczać poza pierwotnie zaatakowane regiony. Świadczą o tym także przypadki wiadomości phishingowych w języku angielskim, co może oznaczać próbę ekspansji kampanii na inne kraje.

 

Mechanizm ataku i wektory infekcji

Pierwszym etapem ataku jest wysyłanie starannie przygotowanych e-maili phishingowych. Cyberprzestępcy stosują różne metody, aby uwiarygodnić swoje wiadomości – mogą one zawierać rzeczywiste logo firm, profesjonalnie sformułowaną treść oraz zwroty grzecznościowe, które sprawiają, że odbiorca nabiera przekonania o autentyczności wiadomości.

Wiadomości te są napisane w języku polskim i niemieckim, co potwierdza, że kampania jest skierowana na te dwa rynki. Do e-maili dołączane są pliki o rozszerzeniu ".tgz", które zawierają skompresowane archiwa TAR. Pliki te ukrywają złośliwe oprogramowanie, a ich kompresja przy użyciu GZIP pozwala ominąć systemy bezpieczeństwa stosowane w poczcie e-mail.

Po otwarciu załącznika uruchamiany jest plik wykonywalny w technologii .NET, który działa jako tzw. "loader". Jego głównym zadaniem jest nawiązanie połączenia z serwerem kontrolowanym przez atakujących i pobranie właściwego złośliwego oprogramowania – w tym przypadku PureCryptera. Jest to narzędzie wykorzystywane do dostarczania kolejnych złośliwych komponentów i zapewnienia trwałości infekcji.

 

Działanie PureCryptera i TorNet

PureCrypter to zaawansowane złośliwe oprogramowanie, którego cechą charakterystyczną jest działanie wyłącznie w pamięci operacyjnej urządzenia. Dzięki temu unika ono wykrycia przez tradycyjne programy antywirusowe, które często bazują na analizie plików zapisanych na dysku. Po uruchomieniu PureCrypter pobiera i instaluje backdoor o nazwie TorNet, który umożliwia cyberprzestępcom pełną kontrolę nad zainfekowanym urządzeniem.

TorNet posiada zaawansowane funkcje umożliwiające przestępcom przesyłanie, uruchamianie i modyfikowanie plików na zaatakowanym systemie. Dodatkowo, oprogramowanie to integruje się z anonimową siecią TOR, co znacznie utrudnia jego wykrycie oraz śledzenie działań atakujących.

Po instalacji TorNet otwiera kanał komunikacyjny między urządzeniem ofiary a serwerem cyberprzestępców. Może to prowadzić do dalszego pobierania złośliwego oprogramowania, kradzieży danych, a nawet przejęcia pełnej kontroli nad komputerem. Zastosowanie sieci TOR sprawia, że analiza ruchu sieciowego i identyfikacja źródła ataku staje się niezwykle trudna dla specjalistów ds. cyberbezpieczeństwa.

 

Techniczne aspekty ataku

PureCrypter został zaprojektowany z myślą o ukrywaniu swojej obecności. Po uruchomieniu na komputerze ofiary wykorzystuje różne techniki unikania wykrycia, takie jak:

  • Sprawdzanie, czy program działa w środowisku sandboxowym lub na maszynie wirtualnej.

  • Analizowanie uruchomionych procesów, aby uniknąć wykrycia przez narzędzia do analizy malware’u.

  • Ukrywanie swojej aktywności w pamięci RAM, zamiast zapisywania plików na dysku.

Jeśli oprogramowanie wykryje, że działa w środowisku testowym, może zmodyfikować swoje działanie lub całkowicie zakończyć proces, aby uniknąć analizy przez specjalistów ds. cyberbezpieczeństwa.

PureCrypter wykorzystuje również różne techniki zapewnienia trwałości infekcji. Modyfikuje ustawienia systemowe, takie jak rejestr Windows, i tworzy zaplanowane zadania w Harmonogramie Zadań systemu Windows, co pozwala na automatyczne uruchamianie się przy każdym starcie systemu. Co więcej, atakujący zastosowali mechanizm uruchamiania złośliwego kodu nawet w sytuacji, gdy poziom baterii urządzenia ofiary jest niski – ma to na celu zapewnienie nieprzerwanego działania malware’u.

 

Jak się chronić?

Ataki tego typu pokazują, jak ważne jest zachowanie ostrożności w kontaktach e-mailowych, zwłaszcza w przypadku wiadomości związanych z finansami. Aby uniknąć infekcji:

  • Nie otwieraj podejrzanych załączników – jeśli nie spodziewasz się konkretnego pliku, nie pobieraj go ani nie uruchamiaj.

  • Weryfikuj nadawcę – sprawdzaj dokładnie adres e-mail, z którego otrzymałeś wiadomość.

  • Korzystaj z nowoczesnych rozwiązań zabezpieczających – programy antywirusowe i filtry antyphishingowe mogą pomóc w wykrywaniu zagrożeń.

  • Aktualizuj oprogramowanie – regularne aktualizacje systemu operacyjnego i aplikacji zmniejszają ryzyko infekcji.

Cisco Talos apeluje o zwiększenie czujności oraz wdrażanie zaawansowanych mechanizmów ochronnych, które mogą ograniczyć skutki tej kampanii i pomóc w przeciwdziałaniu kolejnym atakom.

 

Cisco podkreśla rosnącą rolę bezpieczeństwa technologii operacyjnych w nowym raporcie