Ορισμένες κυβερνοεπιθέσεις ξεκινούν με ένα επικίνδυνο email που φτάνει στο inbox σας. Άλλες μπορεί να ακολουθήσουν μια πιο άμεση, βίαιη προσέγγιση από πολλαπλές επιθέσεις «zero-day» στα Windows.
Ωστόσο, κάποιες φορές, οι επιθέσεις ξεκινούν από εσάς και τις δικές σας ενέργειες, όπως η επίθεση με επαναχρησιμοποίηση κωδικών ή, όπως στην περίπτωση του MassJacker, η απληστία που μπορεί να σας κοστίσει ακριβά. Και οι επιθέσεις MassJacker ξεκινούν με την αναζήτηση του λάθους πράγματος.
Οι επιθέσεις MassJacker ξεκινούν με μια επικίνδυνη αναζήτηση
Προσοχή σε ό,τι ψάχνετε. Αυτό θα πρέπει να είναι το κύριο μήνυμα από αυτή την ανησυχητική ιστορία κακόβουλου λογισμικού και κλοπής κρυπτονομισμάτων που ξεκινά με μια αναζήτηση που δεν είναι αθώα.
Στο παρελθόν, το λογισμικό με πειρατικά παιχνίδια Amiga διανεμόταν σε δισκέτες μέσω ταχυδρομείου σε φακέλους Jiffy σε ανθρώπους που είχαν εγγραφεί σε μία ομάδα cracking σε διάφορα φόρουμ.
Η πρακτική αυτή ήταν επικίνδυνη ακόμη και τότε, με ιούς υπολογιστών και ακόμα και το πρώτο κακόβουλο λογισμικό ransomware να έρχεται μαζί με τα παιχνίδια. Τώρα, φυσικά, τα πράγματα είναι πολύ πιο απλά για εκείνους που θέλουν να γλιτώσουν χρήματα από το λογισμικό τους. Το μόνο που χρειάζεσαι είναι μια μηχανή αναζήτησης και ένα κλικ για να βρεθείς σε μια ιστοσελίδα όπου μπορείς να κατεβάσεις τα πειρατικά προγράμματα. Απλό, αλλά επικίνδυνο. Μια τέτοια αναζήτηση για πειρατικό λογισμικό είναι το σημείο εκκίνησης για τις επιθέσεις MassJacker.
Τι είναι το MassJacker
Το MassJacker είναι μια μέχρι τώρα άγνωστη παραλλαγή κακόβουλου λογισμικού κρυπτοεκμετάλλευσης (cryptojacking), η οποία ανακαλύφθηκε πρόσφατα από τους αναλυτές απειλών της CyberArk. Σύμφωνα με τον Ari Novick, ερευνητή κακόβουλου λογισμικού στην CyberArk Labs, οι άνθρωποι που αναζητούν πειρατικό λογισμικό και καταλήγουν σε μια ιστοσελίδα που ελέγχεται από τους δράστες του MassJacker, θα βρεθούν σύντομα σε σοβαρό κίνδυνο.
Η λήψη του κακόβουλου λογισμικού MassJacker, αν ο χρήστης «δαγκώσει» το δόλωμα, «εκτελεί ένα σενάριο cmd ακολουθούμενο από ένα script PowerShell που κατεβάζει τρία ακόμα εκτελέσιμα αρχεία», είπε ο Novick. Όλα αυτά με σκοπό την κλοπή κρυπτονομισμάτων.
«Το cryptojacking λειτουργεί», εξήγησε ο Novick, «αντικαθιστώντας τις διευθύνσεις των πορτοφολιών κρυπτονομισμάτων που αντιγράφει ο χρήστης με αυτές του επιτιθέμενου στο πρόχειρο».
Αυτό μπορεί να οδηγήσει, μέσω περαιτέρω εξαπάτησης του θύματος, σε μεταφορά χρημάτων στη διεύθυνση του επιτιθέμενου, στο πορτοφόλι του. Ο Novick προειδοποίησε ότι η ανάλυση της CyberArk έχει ανακαλύψει τουλάχιστον 750.000 μοναδικές διευθύνσεις που χρησιμοποιούνται από το MassJacker και μία από αυτές τις διευθύνσεις είχε αξία 300.000 δολάρια.
Η εξήγηση του Cryptojacking
Το κακόβουλο λογισμικό κρυπτοεκμετάλλευσης δεν έχει, για κάποιο παράξενο λόγο που ξεφεύγει από πολλούς ερευνητές απειλών, όπως ο Novick, την ίδια δημοσιότητα με άλλες επιθέσεις όπως το ransomware ή το infostealer malware. Αυτό είναι περίεργο αν σκεφτεί κανείς ότι το ίδιο το κρυπτονόμισμα είναι ένα θέμα που έχει απασχολήσει τα ΜΜΕ για δεκαετίες. Μπορεί κανείς να φανταστεί ότι κάτι που κλέβει κρυπτονόμισμα θα ήταν ιδιαίτερα ενδιαφέρον.
«Αυτό το είδος κακόβουλου λογισμικού δεν είναι τόσο γνωστό όσο το ransomware ή το infostealer», είπε ο Novick, προσθέτοντας ότι ίσως να μην υπάρχουν τόσα πολλά τέτοια λογισμικά ή ότι δεν είναι τόσο κερδοφόρα όσο άλλες επιθέσεις.
«Μια άλλη πιθανότητα είναι ότι είναι πιο δύσκολο να τα εντοπίσεις», συνέχισε ο Novick, καθώς το cryptojacker εκτελεί κακόβουλη συμπεριφορά μόνο υπό συγκεκριμένες συνθήκες και έτσι μπορεί να περάσει απαρατήρητο.
Τι είναι το Cryptojacking
Το cryptojacking μπορεί να αναφέρεται σε περισσότερα από ένα πράγματα. Εκτός από το κακόβουλο λογισμικό που κλέβει χρήματα από τα πορτοφόλια κρυπτονομισμάτων, το cryptojacking μπορεί να αναφέρεται και στην εκμετάλλευση των υπολογιστικών πόρων σας για να εξορύσσουν κρυπτονομίσματα χωρίς τη γνώση ή την άδειά σας.
Αυτό, φυσικά, μπορεί να συνοδευτεί από αυξημένο κίνδυνο κλοπής από το πορτοφόλι σας. Τα προγράμματα είναι κακόβουλα, και οι κυβερνοεγκληματίες είναι εγκληματίες. Παρόλα αυτά, το λογισμικό εξόρυξης κρυπτονομισμάτων πιθανόν να μειωθεί, καθώς γίνεται πιο δύσκολο να υλοποιηθεί λόγω των καλύτερων προστασιών από τους περιηγητές, ενώ οι πιο απλές και κερδοφόρες επιθέσεις κατά των πορτοφολιών είναι αυτές που θα βλέπουμε συχνότερα.
Η επίθεση MassJacker: Τεχνικά στοιχεία
Ο Novick εξήγησε μερικές από τις τεχνικές του MassJacker. Ο αρχικός κώδικας περιέχει τεχνικές κατά της ανάλυσης. «Η πρώτη απλώς μηδενίζει τη μνήμη της MassJacker στο τμήμα και τα ονόματα ροών dotnet», είπε.
«Η δεύτερη είναι μια τεχνική κατά της αποσφαλμάτωσης όπου το κακόβουλο λογισμικό δημιουργεί ένα νέο νήμα για να ελέγξει αν υπάρχει αποσφαλμάτωση. Εάν δεν υπάρχει, δημιουργείται ένα άλλο νήμα για να δημιουργήσει έναν αέναο βρόχο ελέγχου αποσφαλμάτωσης».
Στρατηγική του StilachiRAT
Αντίθετα με το MassJacker, που εξαρτάται από την αναζήτηση πειρατικού λογισμικού, η απειλή StilachiRAT αξιοποιεί την αναζήτηση με διαφορετικό τρόπο. Η αρχική αναζήτηση πραγματοποιείται κατά τη φάση αναγνώρισης του συστήματος, με τους επιτιθέμενους να συγκεντρώνουν πληροφορίες συστήματος και να αντλούν δεδομένα από αποθηκευμένα πορτοφόλια κρυπτονομισμάτων μέσω επεκτάσεων στον περιηγητή Google Chrome.
Αντιμετώπιση της απειλής MassJacker
Ο Novick ανέφερε ότι η CyberArk ανακάλυψε πάνω από 750.000 διευθύνσεις και πάνω από 300.000 δολάρια σε διάφορα κρυπτονομίσματα που ανήκουν στους επιτιθέμενους. Ποιες είναι οι στρατηγικές για την αποφυγή αυτών των επιθέσεων;
- Μην αναζητάτε πειρατικό λογισμικό.
- Μην κατεβάζετε λογισμικό από ιστοσελίδες που προσφέρουν πειρατικά προγράμματα.