up_icon
Misc Software

Με νόμιμο λογισμικό έγινε η εξάπλωση του τραπεζικού Trojan της συμμορίας Lurk

21 Ιουλίου 2016 Yannis Elpidis

Με νόμιμο λογισμικό έγινε η εξάπλωση του τραπεζικού Trojan της συμμορίας Lurk

Kaspersky-Lab_Hacker-Arrest

Κατά τη διάρκεια έρευνας για το επικίνδυνο τραπεζικό Trojan, Lurk, οι ειδικοί της Kaspersky Lab ανακάλυψαν ότι οι εγκληματίες πίσω από αυτό το κακόβουλο λογισμικό χρησιμοποιούσαν νόμιμο λογισμικό για την εξάπλωση της «μόλυνσης». Καθώς οι ανυποψίαστοι χρήστες εγκαθιστούσαν νόμιμο λογισμικό απομακρυσμένης πρόσβασης από την επίσημη ιστοσελίδα ενός παρόχου λογισμικού (ammy.com), «κατέβαζαν» άθελά τους κακόβουλο λογισμικό στις συσκευές τους.

Η συμμορία Lurk συνελήφθη στη Ρωσία στις αρχές Ιουνίου του 2016 και χρησιμοποιούσε το ομώνυμο πολυεπίπεδο Trojan. Με τη βοήθειά του, φαίνεται να κατάφερε να κλέψει 45 εκατομμύρια δολάρια (3 δισεκατομμύρια ρούβλια) από τράπεζες, άλλα χρηματοπιστωτικά ιδρύματα και επιχειρήσεις της χώρας.

Για να διαδώσουν το κακόβουλο λογισμικό, οι εγκληματίες χρησιμοποιούσαν διάφορες κακόβουλες τεχνικές, συμπεριλαμβανομένων των επιθέσεων τύπου «watering hole», οι οποίες συνίστανται στην παραβίαση μιας επίσημης ιστοσελίδας και τη «μόλυνση» της με exploits, που με τη σειρά τους «μολύνουν» τον υπολογιστή του θύματος με κακόβουλο λογισμικό. Ένα από τα παραδείγματα επίθεσης τύπου «watering hole» που εκτελέστηκε από το Lurk παρουσίασε ιδιαίτερο ενδιαφέρον, καθώς δεν βασιζόταν σε exploits, αλλά σε νόμιμο λογισμικό.

Κατά τη διάρκεια μιας τεχνικής ανάλυσης του Lurk, οι ειδικοί της Kaspersky Lab παρατήρησαν ένα ενδιαφέρον μοτίβο. Πολλά από τα θύματα του κακόβουλου λογισμικού είχαν εγκατεστημένο στους υπολογιστές τους το εργαλείο απομακρυσμένης επιφάνειας εργασίας Ammyy Admin. Αυτό το εργαλείο είναι αρκετά δημοφιλές μεταξύ των διαχειριστών επιχειρησιακών συστημάτων επιχειρήσεων, καθώς καθιστά δυνατή την απομακρυσμένη εργασία με την υποδομή πληροφορικής του οργανισμού. Αλλά ποια είναι η σχέση μεταξύ του εργαλείου και του κακόβουλου προγράμματος;

Για να πάρουν απάντηση σε αυτό το ερώτημα, οι ειδικοί της Kaspersky Lab επισκέφτηκαν την επίσημη ιστοσελίδα του Ammyy Admin και προσπάθησαν να «κατεβάσουν» το λογισμικό. Τα κατάφεραν, αλλά η ανάλυση του λογισμικού από τον ιστότοπο έδειξε ότι μαζί με το «καθαρό» επίσημο εργαλείο απομακρυσμένης πρόσβασης, είχε επίσης «κατέβει» και το Trojan Lurk. Το σκεπτικό πίσω από τη στρατηγική αυτή ήταν σαφές: Το θύμα ήταν απίθανο να παρατηρήσει την εγκατάσταση του κακόβουλου λογισμικού γιατί, λόγω της φύσης του λογισμικού απομακρυσμένης πρόσβασης αντιμετωπίζεται ως κακόβουλο ή επικίνδυνο από μερικές λύσεις antivirus. Γνωρίζοντας ότι πολλά στελέχη που ασχολούνται με τις υπηρεσίες πληροφορικής δε δίνουν πάντα την κατάλληλη προσοχή στις προειδοποιήσεις από τις λύσεις ασφάλειας, πολλοί θα αντιμετώπιζαν την ειδοποίηση της λύσης antivirus ως ψευδώς θετική. Έτσι, οι χρήστες δεν συνειδητοποιούσαν ότι το κακόβουλο λογισμικό είχε στην πραγματικότητα «κατέβει» και εγκατασταθεί στις συσκευές τους.

Σύμφωνα με τα στοιχεία της Kaspersky Lab, το Trojan Lurk έχει διαδοθεί μέσω του ammy.com από τις αρχές Φεβρουαρίου 2016. Οι ερευνητές της εταιρείας πιστεύουν ότι οι επιτιθέμενοι χρησιμοποίησαν αδυναμίες στο σύστημα ασφάλειας της ιστοσελίδας του Ammyy Admin, για να προσθέσουν το κακόβουλο λογισμικό στο αρχείο εγκατάστασης του λογισμικού απομακρυσμένης πρόσβασης. Οι ειδικοί της Kaspersky Lab ενημέρωσαν τους ιδιοκτήτες της ιστοσελίδας για το περιστατικό αμέσως μετά τον εντοπισμό του, οι οποίοι προφανώς και έλυσαν το πρόβλημα.

Ωστόσο, στις αρχές του Απριλίου του 2016, μια ακόμη έκδοση του Trojan Lurk καταχωρήθηκε στην ιστοσελίδα του Ammyy. Αυτή τη φορά, οι απατεώνες είχαν αρχίσει να διαδίδουν ένα ελαφρώς τροποποιημένο Trojan, το οποίο είχε τη δυνατότητα να ελέγχει αυτόματα αν ο υπολογιστής του θύματος ήταν μέρος ενός εταιρικού δικτύου. Το κακόβουλο λογισμικό εγκαθίστατο μόνο αν επιβεβαίωνε την ύπαρξη εταιρικού δικτύου, καθιστώντας τις επιθέσεις του πιο στοχευμένες.

Οι ειδικοί της Kaspersky Lab ανέφεραν την ύποπτη αυτή δραστηριότητα ξανά και έλαβαν την απάντηση της εταιρείας ότι το πρόβλημα λύθηκε. Ωστόσο, την 1η Ιουνίου του 2016, εντοπίστηκε το Trojan Fareit, ένα νέο κακόβουλο λογισμικό που είχε «φυτευτεί» στην ιστοσελίδα. Αυτή τη φορά, το κακόβουλο λογισμικό επρόκειτο να κλέψει προσωπικές πληροφορίες των χρηστών. Και αυτό το περιστατικό αναφέρθηκε στους ιδιοκτήτες του ιστότοπου.

Επί του παρόντος, ο ιστότοπος δεν «φιλοξενεί» αυτό το κακόβουλο λογισμικό.

Όπως προειδοποιεί ο Vasily Berdnikov, Malware Analyst της Kaspersky Lab.

"Η χρήση νόμιμου λογισμικού για εγκληματικούς σκοπούς αποτελεί μια εξαιρετικά αποτελεσματική τεχνική διάδοσης κακόβουλου λογισμικού. Πρώτα απ’ όλα, γιατί οι ψηφιακοί εγκληματίες είναι σε θέση να παίζουν με τις αντιλήψεις των χρηστών για την ασφάλεια του νόμιμου λογισμικού που «κατεβάζουν». Με τη λήψη και την εγκατάσταση λογισμικού από γνωστούς κατασκευαστές, οι χρήστες δεν σκέφτονται το ενδεχόμενο ότι μπορεί να υπάρχουν κακόβουλα συνημμένα αρχεία που εμπλέκονται. Το γεγονός αυτό καθιστά πολύ πιο εύκολο για τους ψηφιακούς εγκληματίες να αποκτήσουν πρόσβαση στους στόχους τους και να αυξήσουν σημαντικά τον αριθμό των θυμάτων τους"

Για να μετριαστεί ο κίνδυνος των επιθέσεων αυτού του είδους, οι πάροχοι υπηρεσιών πληροφορικής θα πρέπει να πραγματοποιούν συνεχώς ελέγχους για ευπάθειες στο εσωτερικό των οργανισμών τους. Ταυτόχρονα, θα πρέπει επίσης να προχωρήσουν στην υλοποίηση αξιόπιστων λύσεων ασφάλειας και να ενισχύσουν τη γνώση των εργαζομένων σε σχέση με τα ζητήματα ψηφιακής ασφάλειας.

Τα προϊόντα της Kaspersky Lab ανιχνεύουν τα παραπάνω κακόβουλα προγράμματα, τα οποία είναι καταχωρημένο με τις κωδικές ονομασίες «Trojan-Spy.Win32.Lurk» και «Trojan-PSW.Win32.Fareit», αποτρέποντας την εγκατάσταση τους από τον ιστότοπο «ammy.com». Η εταιρεία καλεί τις επιχειρήσεις να ελέγξουν τα δίκτυά τους για τυχόν ύπαρξη αυτών των κακόβουλων προγραμμάτων.

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑ
read more

Bay View: Αυτό είναι το νέο, εντυπωσιακό campus της Google

18 Μαΐου 2022 Christos Elpidis

Χρειάστηκε να περάσουν σχεδόν 10 χρόνια από τότε που έγινε γνωστό πως η Google θα φτιάξει νέο campus (και 6 χρόνια από την έναρξη των εργασιών) για να το δούμε στην ολοκληρωμένη του μορφή. Η εταιρεία ανοίγει τα...

Την Τετάρτη 18 Μαΐου στο Ζάππειο το 5G Conference SΕ Europe 2022

17 Μαΐου 2022 Techgear Team

Το πρώτο συνέδριο στη χώρα μας που αφορά στα κινητά δίκτυα 5ης γενιάς, το 5G Conference Southeastern Europe, διοργανώνεται την ερχόμενη Τετάρτη, 18 Μαΐου στο Ζάππειο Μέγαρο. Στο διεθνές συνέδριο θα ...

Πανελλαδική έρευνα καταναλωτών της ΕΕΤΤ για τη χρήση υπηρεσιών courier

11 Μαΐου 2022 Techgear Team

Πανελλαδική έρευνα με αντικείμενο τη χρήση υπηρεσιών ταχυμεταφοράς δεμάτων και την αποτύπωση της εμπειρίας των καταναλωτών, διενήργησε η ΕΕΤΤ κατά το διάστημα Ιανουαρίου-Μαρτίου 2022. Ειδικότερα, διερευνήθηκαν ...

Apple: Απειλείται με πρόστιμο έως $36.5 δισ. από την ΕΕ λόγω του NFC των iPhone

05 Μαΐου 2022 Christos Elpidis

Συνεχίζεται το κυνήγι της Ευρωπαϊκής Επιτροπής κατά της Apple, καθώς αυτή τη φορά απαιτεί από την εταιρεία να δώσει πρόσβαση στην τεχνολογία NFC των iPhone σε τρίτους προκειμένου να προσφέρει περισσότερες ...

Digital Services Act: Οι νέοι κανόνες που φέρνει η ΕΕ για τις μεγάλες online πλατφόρμες

25 Απριλίου 2022 Christos Elpidis

Την περασμένη εβδομάδα είδαμε πως προχωρά το νομοσχέδιο Digital Markets Act (DMA) που θα υποχρεώσει τις μεγάλες εταιρείες τεχνολογίας να προβούν σε σημαντικές αλλαγές σε ό,τι αφορά τη λειτουργία της πλειοψηφίας...

Ηλεκτρονικά ο υπολογισμός των τελών για τη μεταβίβαση οχήματος

12 Απριλίου 2022 Techgear Team

Ευκολότερος είναι από την Τρίτη ο υπολογισμός και η πληρωμή των τελών για τη μεταβίβαση οχήματος. Συγκεκριμένα, πρόκειται για την υπηρεσία «Υπολογισμός τελών για μεταβίβαση επιβατικού ή δίκυκλου», την οποία οι ...

NTT Data: Εγκαινιάζει γραφείο στην Αθήνα με πλάνο πρόσληψης 400 ατόμων

12 Απριλίου 2022 Techgear Team

Η NTT DATA, η 6η μεγαλύτερη εταιρία υπηρεσιών Τεχνολογιών Πληροφορικής διεθνώς εισέρχεται στην ελληνική αγορά, ιδρύοντας ένα νέο γραφείο το οποίο θα παίξει καταλυτικό ρόλο στην εδραίωση της ηγετικής της θέσης ...

Right to Repair: Υπερψηφίστηκε η πρόταση στην ΕΕ, ετοιμάζεται το νομοσχέδιο

08 Απριλίου 2022 Christos Elpidis

Η περίφημη πρόταση Right to Repair (ή Δικαίωμα στην Επισκευή αν θέλετε) υπερψηφίστηκε στην Ευρωπαϊκή Επιτροπή και μάλιστα με μόλις 3 ψήφους κατά, όπερ σημαίνει ότι πολύ σύντομα θα έχουμε σημαντικές εξελίξεις ...

Προγραμματισμός ραντεβού για την Πρωτοβάθμια Περίθαλψη μέσω του gov.gr

06 Απριλίου 2022 Techgear Team

Διαθέσιμο για τους πολίτες είναι από την Τετάρτη το νέο Ψηφιακό Σύστημα Ραντεβού Πολιτών για την Πρωτοβάθμια Περίθαλψη που σχεδιάστηκε από τα Υπουργεία Ψηφιακής Διακυβέρνησης και Υγείας. Πρόκειται για την ...

Kaspersky: Μπήκε στη «μαύρη λίστα» των ΗΠΑ ως κίνδυνος για την εθνική ασφάλεια

30 Μαρτίου 2022 Christos Elpidis

Για πρώτη φορά στην ιστορία της FCC (Ομοσπονδιακή Επιτροπή Τηλεπικοινωνιών των ΗΠΑ) εισέρχεται στη «μαύρη λίστα» μια εταιρεία από τη Ρωσία, προφανώς λόγω της εισβολής της τελευταίας στην Ουκρανία. Πρόκειται για...

Loader
techgear_icon