Postřehy z bezpečnosti: pozor na pluginy ChatGPT a novou variantu StopCrypt

18. 3. 2024
Doba čtení: 7 minut

Sdílet

 Autor: Depositphotos
Podíváme se na pluginy ChatGPT od třetích stran, které mohou vést k převzetí účtů, hackera ze skupiny LockBit, který musí zaplatit náhradu škody a malware DarkGate zneužívající chybu ve funkci SmartScreen.

Pluginy ChatGPT od třetích stran

Výzkumníci z oblasti kybernetické bezpečnosti zjistili, že by pluginy pro ChatGPT od třetích stran mohly být novým vektorem útoku pro získání neoprávněného přístupu k citlivým údajům.

Podle nového výzkumu společnosti Salt Labs by bezpečnostní chyby nalezené v ChatGPT mohly útočníkům umožnit instalaci škodlivých pluginů bez souhlasu uživatelů a převzetí jejich účtů na webových stránkách třetích stran, jako je například GitHub.

Jedna z odhalených chyb Salt Labs umožňuje zneužít workflow protokolu OAuth. Navede uživatele k instalaci libovolného pluginu s využitím toho, že ChatGPT neověřuje, zda uživatel sám skutečně tuto instalaci zahájil. To by útočníkům umožnilo zachytit a exfiltrovat veškerá data sdílená obětí tohoto útoku, která mohou obsahovat i osobní a citlivé údaje. Tato chyba byla objevena v několika pluginech, včetně Kesem AI.

Společnost přišla také na problémy s aplikací PluginLab, které mohou útočníci zneužít k zero-click útokům, a převzít tak kontrolu nad účtem organizace na webových stránkách třetích stran, jako je GitHub, a spolu s tím získat přístup k jejich úložištím zdrojového kódu.

Tento report přichází několik týdnů poté, co společnost Imperva podrobně popsala dvě XSS zranitelnosti v ChatGPT, které by mohly být zřetězeny a útočník by získal kontrolu nad jakýmkoliv účtem.

Musí zaplatit škodu 860 000 dolarů

Za účast na globální operaci ransomwarové skupiny LockBit byl v Kanadě odsouzen 34letý občan Ruska a Kanady k téměř čtyřem letům vězení.

Michail Vasiljev z kanadské provincie Ontario byl původně zatčen v listopadu 2022 a obviněn americkým ministerstvem spravedlnosti ze „spiknutí s dalšími osobami s cílem úmyslně poškodit chráněné počítače, a v souvislosti s tím předávat požadavky na výkupné“.

Obviněný, u nějž kanadské orgány činné v trestním řízení provedly domovní prohlídku v srpnu a říjnu 2022, si údajně vedl seznam „potenciálních a dřívějších“ obětí a snímků obrazovky, na kterých byla zobrazená komunikace s „LockBitSupp“ na komunikační platformě Tox. Při razii byl rovněž odhalen textový soubor s pokyny k nasazení ransomwaru LockBit, zdrojový kód ransomwaru a ovládací panel, který kyberkriminální skupina používala k doručení malwaru šifrujícího soubory.

Vasiljev se podle televize CTV News minulý měsíc přiznal k osmi obviněním z kybernetického vydírání, ublížení na zdraví a držení zbraní. Soudkyně jej během vynesení rozsudku charakterizovala jako „kyberteroristu“, který byl „motivován vlastní chamtivostí“. Vasiljevovi, který souhlasil s vydáním do USA, bylo také nařízeno vrátit více než 860 000 dolarů jako náhradu škody.

Jedna z nejplodnějších ransomwarových skupin LockBit utrpěla velkou ránu v únoru 2024, kdy byla její infrastruktura zabavena při koordinované operaci orgánů činných v trestním řízení. Toto narušení doprovázelo zatčením tří operátorů v Polsku a Ukrajině. Ačkoliv se skupina znovu objevila s novou stránkou pro zveřejnění odcizených dat, existují důkazy, které naznačují, že nově uváděné oběti jsou buď staré nebo falešné, a mají tak pouze vyvolat dojem, že skupina opět funguje.

Malware DarkGate zneužil nedávno opravenou chybu

Kampaň malwaru DarkGate zaznamenaná v polovině ledna 2024 zneužívala nedávno opravenou bezpečnostní chybu v systému Microsoft Windows pomocí falešných instalátorů softwaru.

„Během této kampaně byli uživatelé lákáni pomocí souborů PDF, které obsahovaly otevřené přesměrování DoubleClick Digital Marketing (DDM) od společnosti Google. Přesměrování zavedlo nic netušící oběti na napadené stránky hostující obcházení zranitelnosti CVE-2024–21412 v nástroji Microsoft Windows SmartScreen, které vedlo k instalaci škodlivých souborů Microsoft (.MSI),“ uvedla společnost Trend Micro.

Zranitelnost CVE-2024–21412 (skóre CVSS: 8,1) umožňuje neautorizovanému útočníkovi obejít ochranu SmartScreen tím, že oběť přiměje kliknout na speciálně vytvořený soubor. Microsoft tuto zranitelnost opravil v rámci aktualizací Patch Tuesday pro únor 2024, ale bohužel ne dříve, než ji skupina s názvem Water Hydra (alias DarkCasino) využila k šíření malwaru DarkMe při útocích zaměřených na finanční instituce.

Nejnovější zjištění společnosti Trend Micro ukazují, že zranitelnost se stala předmětem širšího zneužití, než se dříve předpokládalo. Kampaň DarkGate ji využila ve spojení s otevřenými přesměrováními z reklam Google k šíření malwaru.

Řetězec událostí začíná kliknutím oběti na odkaz vložený do přílohy PDF zaslané prostřednictvím podvodného e-mailu. Odkaz spustí otevřené přesměrování z domény Google doubleclick[.]net na napadený webový server, na kterém je umístěn škodlivý soubor s internetovým zástupcem .URL, který zneužívá CVE-2024–21412. Konkrétně jsou otevřená přesměrování určena k distribuci falešných instalačních souborů softwaru Microsoft (.MSI), které se tváří jako legitimní software (například Apple iTunes, Notion, NVIDIA) a které jsou vybaveny souborem DLL se side-loadingem, jenž dešifruje a infikuje uživatele pomocí DarkGate (verze 6.1.7).

Nyní již opravenou chybu v nástroji SmartScreen (CVE-2023–36025, skóre CVSS: 8,8) skupiny zneužily v posledních několika měsících k doručení DarkGate, Phemedrone Stealer a Mispadu.

Zneužití technologií Google Ads umožňuje kyberkriminálním skupinám zvýšit dosah a rozsah svých útoků prostřednictvím různých reklamních kampaní, které jsou přizpůsobeny konkrétnímu publiku.

Jihokorejský občan obviněn z kybernetické špionáže

Rusko zadrželo jihokorejského občana, který byl obviněn z kybernetické špionáže a převezen z Vladivostoku do Moskvy k dalšímu vyšetřování. O této události jako první informovala ruská tisková agentura TASS.

„Během vyšetřování případu špionáže byl ve Vladivostoku identifikován a zadržen jihokorejský občan Baek Won-soon, který byl na základě soudního příkazu umístěn do vazby,“ citoval nejmenovaný zdroj.

Won-soon byl obviněn z předávání „přísně tajných“ informací nejmenovaným zahraničním zpravodajským službám. Podle agentury TASS byl Won-soon začátkem roku zadržen ve Vladivostoku a koncem minulého měsíce byl převezen do Moskvy. V současné době se údajně nachází ve vazební věznici Lefortovo. Jeho vazba byla prodloužena o další tři měsíce, tedy do 15. června 2024.

V tomto vazebním středisku je v současné době zadržován také americký novinář Evan Gerškovič, který čeká na soudní proces kvůli podezření ze špionáže. Gershkovich obvinění odmítl.

Tento vývoj přichází uprostřed rozvíjejících se geopolitických vazeb mezi Ruskem a Severní Koreou, a to i v době, kdy se státem sponzorované hackerské skupiny napojené na Severní Koreu zaměřily na Kreml, aby plnily své strategické zpravodajské mise. Přichází také několik dní poté, co USA zatkly bývalého inženýra společnosti Google za údajnou krádež proprietárních informací tohoto technologického giganta, zatímco tajně pracoval pro dvě čínské společnosti, včetně jedné, kterou založil v loňském roce před svou rezignací.

StopCrypt: Nová varianta se vyhýbá detekci

V minulém týdnu byla zaznamenána nová varianta ransomwaru StopCrypt (známá také jako STOP), která využívá vícestupňový proces spuštění, jenž zahrnuje shell kódy umožňující obejít bezpečnostní nástroje.

Zatímco neustále slyšíme, jak rozsáhlé jsou operace některých ransomwarů, například LockBit, BlackCat a Clop, o STOPCrypt se bezpečnostní výzkumníci baví jen zřídka. Je to proto, že tento ransomware se obvykle nezaměřuje na podniky, ale spíše na spotřebitele, a doufá, že místo jednoho velkého požadavku na výkupné ve výši několika milionů dolarů vygeneruje desítky tisíc malých plateb výkupného ve výši 400 až 1 000 dolarů.

Tento ransomware se běžně šíří prostřednictvím malvertisingu a pochybných webů distribuujících adwarové balíčky maskované jako bezplatný software, herní cheaty a cracknuté programy. Po instalaci těchto programů se však uživatelé nakazí různým malwarem, včetně trojských koní kradoucích hesla a ransomwaru STOP. To vede infikované uživatele k tomu, že se zoufale obracejí na bezpečnostní výzkumníky nebo odborníky na ransomware, aby se pokusili získat pomoc.

Od svého původního vydání v roce 2018 se tento ransomware příliš nezměnil, nové verze byly většinou vydány za účelem opravy kritických problémů. Z tohoto důvodu je třeba vydání nové verze STOP sledovat vzhledem k velkému počtu lidí, kteří jí budou postiženi.

Výzkumný tým společnosti SonicWall odhalil novou variantu ransomwaru, která nyní využívá vícestupňový mechanismus spuštění. Zpočátku malware načte zdánlivě nesouvisející soubor DLL ( msim32.dll), pravděpodobně k odlákání pozornosti. Implementuje také sérii dlouhých a časově zpožděných smyček, které mohou pomoci obejít bezpečnostní opatření související s časovým razítkem. Dále používá dynamicky sestavená volání API na stacku k alokaci potřebného paměťového prostoru pro oprávnění ke čtení/zápisu a spuštění, což ztěžuje detekci.

StopCrypt používá volání API pro různé operace, včetně pořizování snímků běžících procesů, aby pochopil prostředí, ve kterém pracuje. V další fázi dochází k vyprazdňování procesů, kdy StopCrypt unáší legitimní procesy a vkládá do nich své payloady k diskrétnímu spuštění v paměti. To se provádí prostřednictvím řady pečlivě organizovaných volání API, která manipulují s procesovou pamětí a tokem kontroly. Po spuštění finálního payloadu proběhne řada akcí, které zajistí perzistenci ransomwaru, upraví seznamy řízení přístupu (ACL), aby uživatelům odepřely oprávnění mazat důležité soubory a adresáře malwaru, a vytvoří se naplánovaná úloha, která každých pět minut spustí payload. Soubory jsou zašifrovány a k jejich novým názvům je přidána přípona .msjd. Je však třeba poznamenat, že existují stovky přípon souvisejících s ransomwarem STOP, protože je často mění.

Nakonec se v každé napadené složce vytvoří poznámka o výkupném s názvem _readme.txt, která obětem poskytuje pokyny k zaplacení výkupného.

bitcoin školení listopad 24

Vývoj nástroje StopCrypt do podoby skrytější a silnější hrozby podtrhuje znepokojivý trend v oblasti kybernetické kriminality. Přestože výkupné programu StopCrypt nejsou vysoké a jeho provozovatelé neprovádějí krádeže dat, škody, které může způsobit mnoha lidem, mohou být velmi značné.

Ve zkratce

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Pracuje ve státním sektoru jako specialistka kybernetické bezpečnosti a založila neziskovou organizaci TheCyberValkyries.