W trakcie rutynowego monitorowania firma Avast odkryła wyrafinowaną procedurę ataku, która podszywała się pod oficjalną aktualizację NVIDIA. To, co na pierwszy rzut oka wyglądało jak zwykła ocena kandydata do pracy, okazało się w rzeczywistości niezwykle wyrafinowaną pułapką cyfrową. Atak był bowiem zamaskowany pod wiarygodną ofertą pracy, wykorzystującą oczekiwania i dobrą wiarę ofiary do uruchomienia pomysłowego mechanizmu włamania.
Spis treści
Wykorzystanie domeny NVIDIA do kradzieży danych logowania
Atak rozpoczynał się od fałszywego formularza rozmowy kwalifikacyjnej. Po jego wypełnieniu użytkownicy byli przekierowywani na stronę, na której wymagano skonfigurowania kamery. Strona ta, zawierająca fałszywy komunikat o problemach z kamerą internetową i mikrofonem, dodawała poczucie pilności i uruchamiała wyskakujące okienko z prośbą o „uzyskanie dostępu do kamery”. W rzeczywistości wyskakujące okienko uruchamiało pozornie legalną aktualizację, wykorzystując domenę NVIDIA, aby „rozwiązać” problemy użytkownika. Po skopiowaniu do schowka polecenie zamieniało się w ładunek.
Wykonanie polecenia uruchamiało wieloetapowy atak, którego sposób i metodologia były już znane i przypisywane grupie Lazarus APT. Pobrany skrypt Python udawał legalną aktualizację sterownika, wyświetlając szczegółowe informacje, aby jeszcze bardziej oszukać ofiarę, ale po odszyfrowaniu uruchamiał WebBrowserPassView w celu kradzieży danych logowania z przeglądarek. Następnie pobierał i uruchamiał MailPassView w celu zebrania danych logowania do poczty elektronicznej i po cichu instalował MeshAgent, zapewniając atakującym stałą zdalną kontrolę nad zainfekowanym systemem.
Na koniec za pomocą pliku wykonywalnego PyInstaller włączano pobieranie plików i danych wrażliwych za pośrednictwem FTP. Na koniec zbierano rozszerzenia przeglądarki i lokalne foldery związane z kryptowalutami i wysyłano je do serwera dowodzenia i kontroli (C2).
Czym jest Lazarus?
Lazarus to nazwa powszechnie używana w odniesieniu do bardzo znanej grupy hakerów, często kojarzonej z Koreą Północną. Grupa ta znana jest z prowadzenia operacji cyber-szpiegowskich i ataków hakerskich na dużą skalę na całym świecie.
Ich działania obejmują szpiegostwo, kradzież funduszy (z banków i instytucji finansowych w celu finansowania operacji swojego reżimu) oraz ataki o innym profilu, takie jak atak na Sony Pictures Entertainment w 2014 r., który naraził dane firmy i zniszczył jej systemy
Korzystają z wyrafinowanych i stale ewoluujących technik i są znani ze swojej wytrwałości oraz zdolności do pozostawania w ukryciu w sieciach przez długi czas.
Kampania ta odzwierciedla ewoluujące taktyki grupy pod szyldem „DeceptiveDevelopment”, które łączą manipulację psychologiczną i zaawansowaną technikę w celu obejścia zabezpieczeń i wykorzystania zaufania w kontekście zawodowym lub rozwojowym, utrudniając rozpoznanie ataku. W ten sposób grupa Lazarus oszukuje ofiary i skłania je do uruchomienia złośliwego oprogramowania w ich imieniu.
Źródło zdjęć: depositphotos.com
Materiał przygotowany przez CORE - Norton, Avast i AVG w Polsce