Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...
Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...
Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...
Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...
Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...
W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...
Kampania cyberprzestępcza „Magnat” wykorzystuje reklamy do kradzieży informacji, uzyskania dostępu do programów i danych dzięki furtkom (ang. backdoor) oraz instalacji złośliwego rozszerzenia w popularnej przeglądarce internetowej.
Eksperci Cisco Talos zaobserwowali w ostatnim czasie kampanię dystrybucji złośliwego oprogramowania, która miała na celu nakłonienie użytkowników do uruchomiania na swoich urządzeniach fałszywych instalatorów popularnych programów. Połączenie reklamy i fałszywych instalatorów jest szczególnie podstępne, ponieważ użytkownicy, do których dociera ten przekaz, są już zdecydowani i gotowi do uruchomienia danych programów na swoich systemach.
Po uruchomieniu fałszywych instalatorów, urządzenie ofiary jest atakowane na trzy sposoby, przez:
● Skrypt wykradający hasła, który zbiera wszystkie dane uwierzytelniające dostępne w systemie.
● „Furtkę”, która umożliwia zdalny dostęp poprzez ukrytą sesję Microsoft Remote Desktop, przekierowując port RDP przez SSH i umożliwiając dostęp do systemów nawet zabezpieczonych firewall’em.
● Złośliwe rozszerzenie przeglądarki, które zawiera kilka funkcji wykradających informacje, takich jak keylogging i robienie zrzutów ekranu.
Kradzieże loginów i haseł od dawna stanowią zagrożenie zarówno dla osób prywatnych, jak i firm. Skradzione dane są często sprzedawane na podziemnych forach, co może sprawić, że posłużą one do kolejnych ataków. Zainfekowane rozszerzenie do przeglądarki Chrome jeszcze bardziej zwiększa to ryzyko, umożliwiając kradzież danych uwierzytelniających używanych w Internecie, które nie są przechowywane w systemie. Dodatkowo, wykorzystanie tunelu SSH (ang. Secure shell) do przekierowania protokołu RDP (Remote Desktop Protocol) na zewnętrzny serwer zapewnia atakującym niezawodny sposób na zdalne zalogowanie się do systemu, omijając firewalla.
Skrócony przebieg i schemat kampanii „Magnat”
Atak rozpoczyna się w momencie, gdy potencjalna ofiara szuka konkretnego oprogramowania do pobrania. Eksperci Cisco Talos uważają, że atakujący przygotował kampanię reklamową, która przedstawiała linki do strony internetowej oferującej pobranie instalatora oprogramowania. Po uruchomieniu, nie zostaje zainstalowane rzeczywiste oprogramowanie, a jego złośliwa wersja.
W oparciu o telemetrię i daty stworzenia analizowanych próbek oprogramowania, ekspertom Cisco Talos udało się nakreślić oś czasu kampanii, która pomaga zrozumieć działania cyberprzestępcy. Dane telemetryczne skupiają się jedynie na aktywności MagnatBackdoor i pokazują, że furtka była dystrybuowana od końca 2019 roku do początku 2020. Po okresie przerwy, w kwietniu 2021 roku ponownie odnotowano przypadki ataku.
Opracowanie Cisco Talos dokumentuje zestaw złośliwych kampanii, które trwały od około trzech lat, wykorzystując trio złośliwego oprogramowania, w tym dwa wcześniej nieudokumentowane narzędzia (MagnatBackdoor i MagnatExtension). W tym czasie te dwie rodziny zagrożeń były stale rozwijane i udoskonalane przez ich autorów.
Cała analiza jest dostępna jest pod tym adresem.
Źródło: Cisco
