Hakerzy CryptoCore atakują konta menedżerów haseł

CryptoCore Targets Password Manager Accounts

Wczoraj firma zajmująca się cyberbezpieczeństwem ClearSky opublikowała raport o grupie hakerskiej o nazwie CryptoCore. Gang, znany również jako Dangerous Password i Leery Turtle, prawdopodobnie znajduje się w Europie Wschodniej, a po jego działaniach pojawiły się także inne stroje bezpieczeństwa. Eksperci ClearSky uważają jednak, że operacje CryptoCore są znacznie większe niż początkowo szacowano. Uważają, że od maja 2018 r. Załodze udało się zebrać aż 200 milionów dolarów nielegalnych zysków. Wczorajszy raport rzuca nieco światła na to, jak udało się to zrobić.

Rozpoznanie

Ofiarami CryptoCore są prawie wyłącznie giełdy kryptowalut i współpracujące z nimi firmy. Przed przeprowadzeniem rzeczywistego ataku hakerzy przechodzą długi proces rozpoznania, który polega na zidentyfikowaniu wysoko postawionych pracowników, na których będą atakowani, zebraniu jak największej ilości informacji na ich temat oraz, w niektórych przypadkach, na naruszeniu ich osobistych kont e-mail .

Według ClearSky ataki na osobiste wiadomości e-mail są łatwiejsze do przeprowadzenia, ale co ważniejsze, zapewniają doskonałe źródło informacji i mogą pomóc hakerom w naruszeniu firmowej skrzynki odbiorczej. Rzeczywisty łańcuch ataku jest mieszanką sprawdzonych technik i nowych, innowacyjnych sztuczek, które, jeśli szacunki ClearSky na około 200 milionów dolarów zysków są prawidłowe, to wyraźnie działają raczej dobrze.

Inżynieria społeczna

Ataki rozpoczynają się od wiadomości e-mail typu spearphishing, które różnią się stopniem zaawansowania. W niektórych przypadkach wiadomości wyglądają raczej podejrzanie, w innych, z wyjątkiem dziwnie umieszczonego przecinka, są prawie idealne zarówno pod względem gramatyki, jak i inżynierii społecznej.

W większości ataków menedżerowie giełdy kryptowalut są informowani, że po kliknięciu łącza uzyskają dostęp do ważnego dokumentu związanego z pracą. CryptoCore intensywnie wykorzystuje nazwy domen, które wyglądają podobnie do popularnych platform internetowych, takich jak Dysk Google, aw niektórych atakach hakerzy wykorzystują HTML do ukrywania złośliwych adresów URL za linkami wyglądającymi na uzasadnione. Hakerzy korzystali również z usług skracania adresów URL nie tylko dlatego, że mogli pomóc im uniknąć wykrycia, ale także dlatego, że dali im pojęcie o tym, ile ofiar padło ofiarą tego programu.

Cele, które klikają, pobierają archiwum z dwoma plikami. Pierwszy to chroniony hasłem plik PDF, DOCX lub XLSX, który jest rzekomo dokumentem związanym z pracą wymienionym w treści wiadomości e-mail. Ofiara wierzy, że hasło, które ją odblokowuje, jest przechowywane w „password.txt” - drugim pliku w archiwum.

Jednak bardziej uważni adresaci mogą zauważyć, że plik password.txt faktycznie ma podwójne rozszerzenie. Jego pełna nazwa to „password.txt.lnk” i właśnie tam rozpoczyna się faktyczny atak.

Atak

Pliki LNK są zwykłymi skrótami do systemu Windows i były również używane przez inne gangi cyberprzestępcze. Plik LNK CryptoCore prowadzi do szkodliwego kodu VBS, który łączy się z serwerem Command and Control (C&C) i przechodzi do następnego etapu ataku. Aby upewnić się, że ofiara nie jest mądrzejsza, skrypt pobiera i otwiera plik TXT zawierający coś, co wygląda jak obiecane hasło.

Jednak w tle pobiera i przechowuje ładunek w folderze% temp% i umieszcza inny plik VBS w katalogu startowym, aby zapewnić, że złośliwe oprogramowanie uruchomi się przy każdym uruchomieniu komputera.

Napad

Jak już wspomniano, ataki CryptoCore atakują kluczowych pracowników giełd kryptowalut, co oznacza, że ta kampania raczej nie będzie miała wpływu na zwykłych użytkowników. Nie oznacza to jednak, że ludzie nie powinni zwracać na to uwagi.

Eksperci ClearSky nie wymienili konkretnych narzędzi wykorzystywanych w atakach CryptoCore, ale powiedzieli, że cyberprzestępcy szukają kont menedżerów haseł ofiar. Tam hakerzy znajdują informacje, których potrzebują, aby przekierować miliony cyfrowych monet z aktywnych portfeli giełdy na kontrolowane przez nich adresy.

Rzeczywiste mechanizmy włamań pozostają nieznane i nie ma informacji, czy określone aplikacje do zarządzania hasłami są celem. Skradziona kryptowaluta dowodzi jednak, że ataki zakończyły się powodzeniem, co może budzić podejrzenia u menedżerów haseł u niektórych użytkowników. Byłoby to całkowicie nieuzasadnione.

Menedżerowie haseł są najlepszymi narzędziami do organizowania i przechowywania danych logowania i nie powinno być żadnych wątpliwości w tym względzie. Niestety nawet obronę menedżera haseł można osłabić z powodu złej higieny cyberbezpieczeństwa ze strony użytkownika. Ludzie muszą pamiętać, że ich hasło główne musi być mocne, długie i, co najważniejsze, unikatowe oraz muszą korzystać z dodatkowych funkcji bezpieczeństwa, takich jak uwierzytelnianie dwuskładnikowe, które oferują niektórzy menedżerowie haseł. Możemy nie znać szczegółów technicznych dotyczących ataków CryptoCore, ale wiemy, że wszystkie one zależą od kliknięcia przez użytkownika łącza w wiadomości e-mail, co pokazuje, że najwyższy czas, aby wszyscy zaczęli traktować wiadomości w skrzynce odbiorczej za pomocą zdrowa dawka podejrzeń.

June 25, 2020

Zostaw odpowiedź