Hlavní navigace

Postřehy z bezpečnosti: nový malware na prodej

CSIRT.CZ

Pravidelný pondělní pohled na právě uplynulý týden z pohledu bezpečnosti. V tomto díle se podíváme na nový Windows malware, útok na Dell, stížnost na Google, kompromitovanou knihovnu a dva reklamní podvody.

Doba čtení: 5 minut

Malware na prodej

Byl odhalen nový nástroj, který útočníci používají k infikování a následné správě počítačů s OS Windows. Nástroj se jmenuje L0rdix, je napsán v .NET a využívá obfuskaci ConfuserEx a .NETGuard.

Tento malware je plně modulární, umí automatickou aktualizaci a dává si velký pozor na virtualizaci a sandboxing, aby znesnadnil vlastní analýzu. Po prvotní infekci vytvoří otisk počítače a spolu se snímkem obrazovky předá obojí šifrovaným kanálem na command and control server. Pak už si jen stačí vybrat jestli bude stroj zneužit k těžbě virtuální měny nebo ke krádeži dat.

L0rdix si dále zajistí perzistenci přidáním se do naplánovaných úloh včetně dalších tradičních metod. Následně infikuje všechny dostupné vyměnitelné disky. Po připojení do botnetu už plní jen aktuální úlohy, ať už se jedná o krádeže dat včetně virtuálních peněženek či cookies, DDoS útoky nebo již zmíněná těžba virtuálních měn.

Dell pod útokem

Společnost Dell oznámila, že neznámá skupina hackerů infiltrovala jejich interní síť. Když Dell zaznamenal neoprávněnou aktivitu na jejich síti, rozhodli se resetovat všechna hesla uživatelů. Neznámý útočník se totiž pokoušel získat informace o zákaznících, včetně e-mailových adres a otisků hesel. Podle vyjádření společnosti, se nezjistilo, jestli vůbec došlo k nějakému úniku dat. Společnost zatím tají, jakým způsobem byla jejich interní síť napadena, ale potvrdila, že platební údaje uživatelů nebyly ohroženy.

Žaloba na Google kvůli sledování uživatelů

Sedm evropských spotřebitelských skupin podalo v úterý stížnost na Google u národních regulátorů a obvinilo internetového giganta ze skrytého sledování pohybu uživatelů, které je v rozporu s nařízením EU o ochraně osobních údajů. Stížnosti uvedla studie Norwegian Consumer Council, která tvrdí, že klamavý design a zavádějící informace vedou k tomu, že uživatelé akceptují neustálé sledování. Úředník z Norwegian Consumer Council Gro Mette Moen viní Google, že používá extrémně podrobné a komplexní osobní údaje bez vhodného soudního základu a data získává pomocí manipulativních technik. Stížnosti na Google byly podány v České republice, Řecku, Nizozemsku, Norsku, Polsku, Slovinsku a Švédsku. 

Žaloba vychází z obecného nařízení EU o ochraně osobních údajů (GDPR), které nabylo účinnosti v květnu letošního roku. Google je obviňován ze sledování pohybu uživatelů prostřednictvím svých aplikací Location History a Web & App Activity, které jsou vestavěny do všech účtů Google. Pro uživatele mobilních telefonů s operačním systémem Android, jako jsou telefony Samsung a Huawei, je obzvláště obtížné se vyhnout tomuto sledování, komentuje danou situaci NCC.

Podle internetového serveru StatCounter funguje na systému Android téměř 70 % evropských mobilních telefonů. Lokalizační údaje mohou o člověku mnohé prozradit. Pohyby v reálném čase, často navštěvovaná místa, denní rutiny, zájmy a podobně, uvádí se v norské stížnosti. Dále pokračuje: Neustálé sledování polohy a agregace lokalizačních dat v čase lze využít k vybudování velmi podrobných profilů jednotlivců a k odvození náboženských přesvědčení, politických sklonů a sexuální orientace, mimo jiné.

Monique Goyensová, generální ředitelka Evropské spotřebitelské organizace říká: Datový hlad Googlu je notoricky známý, ale rozsah, s jakým klame své uživatele, aby sledovali a zpeněžili každý svůj krok, je neuvěřitelný. Celá situace je více než alarmující. Nizozemská organizace Consumentenbond trvá na tom, že toto sledování musí přestat. Na to reagoval Google slovy, že Location History je standardně vypnutý a uživatel jej může kdykoliv upravovat, mazat nebo pozastavovat. Pokud je zapnutá, pomáhá zlepšit služby jako předpovídaný provoz na vašem dojezdu.

Škodlivý kód v balíčku NodeJS

Útočníkům se povedlo do open-source knihovny vpravit škodlivý kód. Postižený NodeJS balíček byl naneštěstí součástí aplikací Copay a BitPay a útočníci se s jeho pomocí pokusili získat přístup k privátním klíčům peněženek uživatelů. BitPay uživatelům důrazně doporučilo ihned převést peníze do nových peněženek a staré považovat za kompromitované.

Přestože aplikace BitPay sice nebyla škodlivým kódem zneužitelná, není jisté, zda to neplatí pro aplikaci Copay. Problém vznikl tak, že původní autor balíčku neměl čas na jeho udržování, předal ho proto uživateli, který předtím do projektu přispíval a požádal ho o práva e-mailem. Potom však svého postavení zneužil. Ostatní uživatelé na GitHubu diskutují o lepších možnostech, co se s projektem mělo stát, než ho rovnou předat hackerům.

Obvinění za podvod s reklamou

Federální soud v Brooklynu ve Spojených státech zveřejnil obvinění proti skupině osmi osob, které stály za masivním reklamním podvodem pojmenovaným 3ve. Tři z nich jsou zadrženy a čekají na vydání do USA, ostatní jsou zatím na svobodě. Od roku 2014 útočníci různými způsoby zneužívali uměle generovaný provoz pro zobrazování reklam na podvržených webových stránkách.

V jednom případě šlo o 1 900 pronajatých serverů, na kterých hostovali zhruba 5 000 webových stránek, dále díky velkému pronajatému poolu o zhruba 650 000 IP adres a v také díky sofistikovaným metodám imitování uživatele (používání prohlížeče, pohyby myší, zastavování přehrávaného videa či přihlášení na Facebook) se dokázali proklikat k 7 milionům dolarů.

Jiným způsobem pak bylo využití botnetů Kovter a Boaxxe, které celkem nakazily až 1,7 milionů strojů a opět sloužily převážně ke generování provozu na podvržených webových stránkách. Zatímco Boaxxe byl udělal z nakaženého stroje proxy, přes který se pouze přeposílaly požadavky na návštěvu webu generované C&C serverem, Kovter využil Chrome Embedded Frameworku ke skrytému navštěvování stránek přímo a byl vybaven mnoha technikami na skrytí (falešný provoz, pokud ho zaznamenal monitoring sítě; vypnutí, když byl spuštěn Task Manager; fileless perzistence v podobě šifrovaného payloadu v registrech). Veškerou aktivitu také prováděl pouze, když byl systém nevyužíván nebo byl vypnutý displej. V tomto případě byly škody značně vyšší, a to 29 milionů dolarů.

Krádež milionů z doporučení aplikací

Významná čínská společnost Cheetah Mobile, která je známá díky populárním utilitám jako Clean Master a Battery Doctor, a jedna z jejích dceřiných společností Kika Tech ukradly miliony dolarů z poskytovaných reklam na Android aplikace. Údajně se jednalo celkem o 8 aplikací, které měly celkem 2 miliardy stažení v obchodu Google Play. Aplikace zneužívaly uživatelská oprávnění ke sledování nově nainstalovaných aplikací a po nainstalování dané aplikace si přivlastnily odměny, plynoucí z reklam i v případě, že uživatel nainstaloval aplikaci na doporučení z jiné aplikace.

Ve zkratce

Pro pobavení

XKCD 1694, Randall Munroe, CC by-nc 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Našli jste v článku chybu?