CryptoCore Hackerek Célzott Jelszókezelő fiókok
Tegnap a kiberbiztonsági cég, a ClearSky közzétette egy CryptoCore nevű hackerek csoportját. A veszélyes jelszónak és a Leery teknősnek is nevezett banda állítólag Kelet-Európában található, és tevékenységét más biztonsági felszerelések is követik. A ClearSky szakértői azonban úgy vélik, hogy a CryptoCore műveletei sokkal nagyobbak, mint az eredetileg becsülték. Úgy gondolják, hogy 2018 májusa óta a legénységnek sikerült 200 millió dollár illegális nyereséget felszámolnia. A tegnapi jelentés rávilágít arra, hogyan sikerült ezt megtenni.
Table of Contents
A felderítés
A CryptoCore áldozatai szinte kizárólag kriptovaluta-tőzsdék és velük együttműködő vállalatok. A tényleges támadás végrehajtása előtt a hackerek hosszú felderítési folyamaton mennek keresztül, amelynek során azonosítják azokat a magas rangú alkalmazottakat, akiket megcéloznak, a lehető legtöbb információt gyűjtik róluk, és egyes esetekben veszélyeztetik személyes e-mail fiókokat. .
A ClearSky szerint a személyes e-mailek elleni támadások könnyebben elérhetők, de ennél is fontosabb, hogy kiváló információforrást jelentenek, és segíthetnek a hackereknek a cél vállalati beérkező leveleinek veszélyeztetésében. A tényleges támadási lánc bevált technikák és új, innovatív trükkök keveréke, amelyek ha a ClearSky becslései szerint a 200 millió dolláros nyereség helyes, akkor egyértelműen meglehetősen jól működnek.
A szociális technika
A támadások olyan spearphishing e-mailekkel indulnak, amelyek kifinomultságuk szintje különbözik. Egyes esetekben az üzenetek meglehetősen gyanús megjelenésűek, másokban pedig a furcsa, rosszul elhelyezett vesszőt áthúzzák, szinte tökéletesek mind a nyelvtani, mind a szociális műszaki szempontból.
A legtöbb támadás során a kriptovállalati vezetők azt mondják, hogy egy linkre kattintva hozzáférhetnek egy fontos, munkával kapcsolatos dokumentumhoz. A CryptoCore sok olyan domain nevet használ, amely hasonló a népszerű online platformokhoz, mint például a Google Drive, és a támadások egy részében a hackerek HTML-t használnak a rosszindulatú URL-ek elrejtésére a legitim megjelenésű linkek mögött. A hackerek az URL-lerövidítési szolgáltatásokat is használják nemcsak azért, mert segíthetnek nekik az észlelés elkerülésében, hanem azért is, mert képet adnak arról, hogy hány áldozat tartozik a rendszerbe.
Azok a célok, akik átkattintanak, két fájlt tartalmazó archívumot tölthetnek le. Az első egy jelszóval védett PDF, DOCX vagy XLSX fájl, amely állítólag az e-mail szövegében említett, munkával kapcsolatos dokumentum. Az áldozat arra hívja fel a figyelmét, hogy a feloldó jelszó a "password.txt" fájlban található - az archívum második fájljában.
A figyelmesebb címzettek azonban észrevehetik, hogy a password.txt fájl valójában kettős kiterjesztéssel rendelkezik. A teljes neve "password.txt.lnk", és itt kezdődik a támadás.
A támadás
Az LNK fájlok rendszeres Windows parancsikonok, és más számítógépes bűnözői bandák is használják őket. A CryptoCore LNK fájlja egy rosszindulatú VBS-kód darabjára hivatkozik, amely kapcsolódik a Parancs- és Vezérlőszerverhez (C&C), és továbbjut a támadás következő szakaszába. Annak biztosítása érdekében, hogy az áldozat ne legyen okosabb, a szkript letölti és megnyit egy TXT fájlt, amely tartalmazza az ígért jelszót.
A háttérben azonban letölti és tárolja a hasznos terhelést a% temp% mappában, és újabb VBS fájlt helyez el az indítási könyvtárba annak biztosítása érdekében, hogy a rosszindulatú programok elinduljanak, amikor a számítógép elindul.
A rabló
Mint már említettük, a CryptoCore támadásai a kriptovaluta-cserék kulcsfontosságú alkalmazottjait célozzák meg, ami azt jelenti, hogy a rendszeres felhasználókat valószínűleg nem érinti ez a konkrét kampány. Ez nem azt jelenti, hogy az embereknek nem kellene odafigyelniük erre.
A ClearSky szakértői nem nevezték el a CryptoCore támadásainál használt eszközöket, de azt mondták, hogy a számítógépes bűnözők az áldozatok jelszókezelői fiókjait követik. Ott a hackerek megtalálják a szükséges információt ahhoz, hogy milliónyi értékű digitális érmét átirányítsanak a tőzsde aktív pénztárcájából az általuk ellenőrzött címekre.
A betörés tényleges mechanizmusai ismeretlenek, és nincs információ arról, hogy célzott-e bizonyos jelszókezelő alkalmazások. Az ellopott kriptovaluta azonban azt bizonyítja, hogy a támadások sikeresek voltak, ami néhány felhasználóban a jelszókezelők iránti gyanút felveheti. Ez teljesen indokolatlan lenne.
A jelszókezelők a legjobb eszközök a bejelentkezési adatok megszervezéséhez és tárolásához, és erről senkinek nem szabad kételkednie. Sajnos, még a jelszókezelő védelmét is gyengítheti a felhasználó rossz kiberbiztonsági higiéniája. Az embereknek emlékezniük kell arra, hogy fő jelszavaiknak erősnek, hosszúnak és alapvetően egyedinek kell lenniük, és ki kell használniuk a kiegészítő biztonsági funkciókat, például a két tényezővel történő hitelesítést, amelyet egyes jelszókezelők kínálnak. Lehet, hogy nincsenek a CryptoCore támadásainak technikai részletei, de tudjuk, hogy ezek mindegyike attól is függ, hogy a felhasználó egy e-mailben található linkre kattint-e, ami azt mutatja, hogy itt az ideje, hogy mindenki elkezdje a beérkező levelek üzeneteinek kezelését a egészséges adag gyanú.