O nás     Inzerce     KontaktVěrohodné informace z byznysu již od roku 2013
Hledat
Nepřehlédněte: Slovník ekonomických pojmů
Plánovací kalendář 2025
Zkušenosti podnikatelů v ČR
Nejlepší IT: Pozoruhodné IT produkty pro rok 2024 podruhé
Hlavní rubriky: Ekonomika, Podnikání, Investice, Reality, Lidé, Peníze, Technologie, Zkušenosti, Speciály

Slovník ekonomických pojmů
Praktické informace pro firmy

Útok prostřednictvím dokumentů, na prodejích hackerského nástroje nezbohatli

Dvojice hackerů si za měsíc a půl vydělala přes 100 000 Kč prodejem hackerského nástroje APOMacroSploit. Do útočné kampaně se zapojilo přibližně 40 různých hackerů a při útocích využívají 100 různých e-mailových adres. Upozornila na to společnost Check Point, která zachytila útoky ve více než 30 zemích, včetně České republiky.

Nový nástroj pro tvorbu malwaru s názvem APOMacroSploit byl použit k e-mailovým útokům na více než 80 společností z celého světa. Bližší analýza společnosti Check Point ukázala, že tento nástroj obsahuje funkce, pomocí kterých se vyhne detekci Windows Defenderem. Nástroj je navíc denně aktualizován, aby se vyhnul dalším detekčním mechanismům. Check Point rozkryl pozadí hrozby i skutečnou identitu jednoho z útočníků. Informace byly sdíleny s příslušnými orgány činnými v trestním řízení.

Oběť je infikována malwarem, jakmile uživatel povolí dynamický obsah XLS dokumentu přiloženého ve škodlivém e-mailu a XLM makro automaticky začne stahovat systémový příkazový skript pro Windows.

Vzhledem k ceně útočného nástroje a počtu útoků lze odhadovat, že dva hlavní kyberzločinci si vydělali minimálně 5 000 dolarů za 1,5 měsíce pouhým prodejem produktu APOMacroSploit.

Výzkumný tým sledoval související útoky a analyzoval RAT (Remote Access Trojan) malware používaný v rámci kampaně ke vzdálené kontrole zařízení obětí a krádeži informací.

Pozor na škodlivý dokument

Na začátku útoku byl použit škodlivý XLS dokument se zamaskovaným XLM makrem nazvaným Macro 4.0. Makro se spustí automaticky, když oběť otevře dokument a stáhne soubor BAT z domény cutt[.]ly. Spuštění příkazu „attrib“ umožňuje skrýt skript BAT v zařízení oběti.

V této fázi útoku udělali útočníci ale zásadní chybu. Doména cutt[.]ly přímo přesměrovává na server pro stahování a neprovádí požadavek na backend.

U každého souboru byla do názvu vložena přezdívka zákazníka. Zombie99, zmíněný také v názvu souboru, je přezdívka jednoho z útočníků. Bylo tak možné získat seznam přezdívek všech zákazníků a také kyberzločinců.

APOMacroSploit

Při hledání uživatelských jmen zmíněných v názvech souborů BAT našel Check Point reklamu na malware builder s názvem APOMacroSploit. Jedná se o nástroj, který uživateli umožňuje vytvořit XLS soubor, který se vyhne detekci antivirem a dalším bezpečnostním kontrolám.

APOMacroSploit umí také na počítači oběti deaktivovat a upravit Windows Defender, aby bylo snazší spustit škodlivý obsah. Na HackForums.net podle odborníků prodávají APOMacroSploit dva uživatelé: Apocaliptique (Apo) a Nitrix.

Check Point objevil také kanál Discordu, ve kterém Nitrix vystupuje jako vývojář nástroje a Apo jako administrátor. Nitrix i Apocaliptique tam nabízí svým zákazníkům pomoc s použitím nástroje. Hackeři nejen prodali své útočné nástroje, ale také se podíleli na tvorbě a hostování škodlivých kódů.


(29. 3. 2021 | redakce2)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<
©2013-2024 OnBusiness.cz, ISSN 2336-1999 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu OnBusiness.cz a ochrana soukromí | pg(5845)