Postřehy z bezpečnosti: dubnová nadílka trojanů

Techniky úniku Coffeeloaderu

Zscaler Threatlabz varuje před Coffeloaderem, což je sofistikovaný malware, který používá mnohé techniky, jak obejít bezpečnostní řešení. Je aktivní již od září 2024 a mezi jeho pokročilé techniky patří na GPU založené balící algoritmy, podvržení volání zásobníku, šifrování paměti během spánku a zneužití vláken Windows.

Coffeloader, který mj. slouží k instalaci a spuštění info-stealeru Rhadamanthys je distribuován prostřednictvím Smokeloaderu, s nímž sdílí podobné vlastnosti. Pro komunikaci se servery CC používá Coffeeloader protokol HTTPS. Pokud jsou primární CC servery nedostupné, tak Coffeloader použije algoritmus na generování domén. Indikátory kompromitace obsahuje následující tabulka:

Bankovní trojan Crocodilus

Nový bankovní trojan pro Android využívá funkce usnadnění ke krádeži přístupových údajů k bankovnictví a cryptu. Malware používá techniky překrytí, snímání stisků kláves a vzdálený přístup. Malware v současné době cílí na uživatele ve Španělsku a Turecku, ale předpokládá se jeho globální rozšíření. Mezi příkazy, které malware podporuje, patří následující:

• Kontrola volání s SMS: umožňuje přesměrování volání, odesílání SMS na určená čísla nebo všechny kontakty, příjem SMS zpráv a nastavení sama sebe jako správce SMS.
• Překryvné útoky: kontroly dostupných překrytí instalovaných aplikací zejména kvůli krádežím přístupových údajů.
• Administrace zařízení a persistence: vyžádání administrátorských oprávnění, zamykání obrazovky a ochrana proti smazání.
• Notifikace a sociální inženýrství: posílání falešných notifikací na obelstění uživatelů.
• Vzdálené příkazy a změny nastavení: aktualizuje vlastní nastavení, zapíná či vypíná zvuk a spouští příkazy.

Skrývání malwaru pro WordPress

Výzkumníci ze Sucuri zjistili, že útočníci skrývají malware pro WordPress v adresáři mu-plugins. Tyto tzv. must-use zásuvné moduly jsou (na rozdíl od jiných) automaticky načteny bez nutnosti aktivace a rovněž se nezobrazují v seznamu běžných zásuvných modulů.

Malware v adresáři mu-plugins zahrnuje falešné přesměrování – redirect.php, webshell – index.php  – umožňující převzetí kontroly nad webem a custom-js-loader.php zajišťující vkládání spamu. Malware slouží útočníkům k vydělávání peněz a svou perzistencí k dalším nákazám či útokům.

Předinstalovaný trojan

Dle výzkumníků z Kaspersky se v Rusku objevila nová varianta trojanu Triada předinstalovaná na tisícovkách padělků známých modelů smartphonů s OS Android. Spekuluje se, že byl napaden dodavatelský řetězec, takže prodejci o tom nemusejí mít ani tušení. Vzhledem k tomu, že malware je distribuován ve firmwaru a sídlí v systémovém frameworku, se kopie Triady dostává do každého procesu v mobilu.

Malware poskytuje útočníkům plnou kontrolu nad zařízením, umožňuje mimo jiné ukradnout účty, posílat zprávy, krást kryptoměny, monitorovat internetové brouzdání, zachycovat SMS apod. Zbavit se malwaru dá jen vymazáním mobilu a přeinstalací OS.

Zneužití zastaralého platebního API

Výzkumníci varují před web skimmer útoky, které využívají zastaralého API platebního procesoru Stripe k validaci ukradených platebních informací. Tato taktika zajišťuje, že se k útočníkům dostávají pouze validní údaje platebních karet. Tyto útoky trvají nejméně od 20. srpna 2024. 

Distribučním bodem webového skimmeru v JavaScriptu, který je určen k zachytávání a zakrývání legitimních platebních bran, jsou škodlivé domény. Ke vložení první fáze škodlivého skriptu útočníci zneužívají zranitelnosti a chybné nastavení v systémech WooCommerce, WordPress a PrestaShop.

Ve zkratce

• Microsoft varuje před kritickou chybou v ovladačích pro tiskárny Canon
• Apple backportuje záplaty pro 3 zranitelnosti
• Únosy Windows přes kompromitovaný SharePoint
• Hackeři skenují zranitelnosti v Palo Alto Networks
• Šíření crypto malwaru na linuxových serverech

Pro pobavení