Twórcy spyware ukryli w kodzie teksty o broni biologicznej
TL;DR: Badacze z McAfee oraz Palo Alto Networks Unit 42 zidentyfikowali nową kampanię szpiegowską SpyAgent. Twórcy tego złośliwego oprogramowania dodali do spyware tekst o broni nuklearnej oraz biologicznej. To nietypowa technika zaciemniania kodu, która oszukuje algorytmy bezpieczeństwa DLP. Złośliwe skrypty celują głównie w portfele kryptowalutowe na systemach Android, kradnąc klucze prywatne oraz frazy seed.
Jak twórcy złośliwego oprogramowania wykorzystują teksty o broni nuklearnej?
Twórcy złośliwego oprogramowania dodali do spyware obszerny tekst o broni nuklearnej w celach czysto taktycznych. Zatem ta technika ma na celu oszukanie mechanizmów skanujących, które opierają się na analizie słów kluczowych. Zamiast typowych ciągów znaków odpowiedzialnych za kradzież danych, systemy bezpieczeństwa natrafiają na terminy z dziedziny fizyki jądrowej. Z kolei automatyczne filtry często blokują takie pliki lub kierują je do ręcznej weryfikacji przez analityków. To opóźnia proces wykrywania ataku.
Złośliwe oprogramowanie wykorzystuje długie instrukcje dotyczące broni biologicznej jako warstwę izolacyjną. Ponadto zabezpieczenia firm często skanują treść pod kątem wycieków danych (DLP). Przez to fałszywe alarmy generowane przez teksty o broni masowego rażenia potrafią zapchać system monitoringu. Badacze z McAfee udostępnili szczegółową analizę tego zjawiska, która dokładnie tłumaczy ten mechanizm.
Złośliwy kod jest celowo zapychany kontrowersyjnymi treściami, aby opóźnić analizę. Badacze z Palo Alto Networks Unit 2 udokumentowali przypadek, gdzie spyware generuje fałszywe alarmy DLP. Systemy bezpieczeństwa blokują pliki z powodu wykrycia zakazanych treści, co daje atakującym dodatkowe minuty na kradzież danych.
Czego faktycznie szuka to złośliwe oprogramowanie?
Pomimo zaciemniających tekstów o broni nuklearnej, rzeczywistym celem tego oprogramowania są dane finansowe. Przede wszystkim spyware celuje w aplikacje wallet oraz portfele kryptowalutowe zainstalowane na smartfonach ofiary. Złośliwe skrypty próbują przechwycić frazy seed, które są niezbędne do odblokowania dostępu do środków. Zatem dostęp do poufnych ciągów znaków pozwala atakującym na natychmiastowe przelewy na własne konta.
Oprócz portfeli cyfrowych, cyberprzestępcy szukają również poświadczeń logowania do bankowości tradycyjnej. Złośliwe oprogramowanie loguje naciśnięcia klawiszy na klawiaturze wirtualnej telefonu. Następnie zebrane informacje są przesyłane na serwer Command and Control (C2). Temu zagrożeniu poświęcono obszerny artykuł na portalu Security Affairs, gdzie opisano mechanizmy działania kampanii SpyAgent.
Złośliwe aplikacje wykradają frazy seed z portfeli kryptowalutowych zainstalowanych na systemie Android. Z raportów analityków wynika, że kod przechwytuje również naciśnięcia klawiszy na wirtualnej klawiaturze. Zebrane poświadczenia trafiają bezpośrednio na serwery Command and Control (C2) zarządzane przez atakujących.
Dlaczego systemy bezpieczeństwa dają się oszukać?
Tradycyjne programy antywirusowe często zawodzą wobec tak zaawansowanych metod maskowania. Ponadto algorytmy skanujące mają na celu powstrzymanie wycieku poufnych informacji z firm. Kiedy skrypt wysyła tekst o broni nuklearnej, system DLP natychmiast flaguje to zdarzenie. Co więcej, fałszywy alarm o próbie exfiltracji danych państwowych odwraca uwagę systemu od drobnego kodu kradnącego hasła.
Z drugiej strony cyberprzestępcy doskonale znają luki w logice programów chroniących infrastrukturę. Atakujący wstrzykują bezpieczny, ale wysoce streszczający treść dla algorytmów, kod zaszyty w polimetadanych pliku. Innymi słowy tworzą szum informacyjny, który przeciąża procesory analizujące ruch sieciowy. Poniższa tabela przedstawia najważniejsze różnice między tradycyjnym atakiem a opisywaną kampanią:
| Cecha ataku | Tradycyjny spyware | SpyAgent (z tekstem o broni) |
|---|---|---|
| Główny cel | Zbiór kontaktów, zdjęcia | Portfele kryptowalutowe |
| Metoda ukrycia | Szyfrowanie plików | Zaciemnianie tekstem (DLP evasion) |
| Wykrywalność | Wysoka (silniki AV) | Niska (fałszywe alarmy DLP) |
| Wektor początkowy | Złośliwe linki SMS | Podszywanie się pod legalne aplikacje |
Systemy klasy Data Loss Prevention (DLP) są głównym celem tej techniki maskowania. Badacze z McAfee udowodnili, że fałszywe alarmy generowane przez teksty o broni masowego rażenia skutecznie zapychają system monitoringu. Właściwy kod spyware przechodzi przez pierwszą linię obrony całkowicie niezauważony.
Jakie są metody infekcji używane przez atakujących?
Aby zainstalować złośliwe oprogramowanie na urządzeniu ofiary, przestępcy stosują sprawdzony inżyniering społeczny. Na przykład głównym wektorem ataku są wiadomości SMS zawierające linki do phishingowych stron. Przede wszystkim wiadomości te często informują o rzekomym pakiecie do odebrania lub ważnym dokumencie bankowym. Choć brzmi to banalnie, klika w te linki wciąż ogromna liczba użytkowników mobilnych.
Cyberprzestępcy bardzo rzadko opierają się tylko na jednym wektorze ataku. Oszuści często używają fałszywych powiadomień o aktualizacjach systemu operacyjnego. Po instalacji aplikacja prosi o dostęp do ułatwień dostępności (Accessibility Services). W rezultacie złośliwy skrypt może czytać zawartość ekranu w czasie rzeczywistym oraz klikać przyciski w innych programach.
Aplikacje podszywają się pod popularne narzędzia systemowe, co dodatkowo utrudnia ręczne wykrycie zagrożenia. Warto sprawdzić dokładnie każdą prośbę o takie uprawnienia na telefonie. Lista najczęstszych wektorów ataku obejmuje:
- Wiadomości SMS z linkami do fałszywych stron logowania.
- Fałszywe powiadomienia o oczekującym pakiecie kurierskim do odbioru.
- Podszywanie się pod oficjalne aktualizacje systemu operacyjnego Android.
- Aplikacje udające legalne narzędzia systemowe dostępne poza sklepem Google Play.
- Linki phishingowe w wiadomościach e-mail dotyczących rzekomych faktur.
- Prośby o dostęp do usług ułatwień dostępności (Accessibility Services).
- Fałszywe alerty o złośliwym oprogramowaniu wymagające natychmiastowej reakcji.
- Oferty podrobionych aplikacji do zarządzania portfelami kryptowalutowymi.
Atakujący wykorzystują usługi ułatwień dostępności (Accessibility Services) w systemie Android do przejmowania kontroli nad urządzeniem. Złośliwe skrypty czytają zawartość ekranu w czasie rzeczywistym oraz automatycznie klikają przyciski w innych programach. To uprawnienie pozwala na całkowite przejęcie sterowania nad smartfonem ofiary.
Jakie konsekwencje niesie dodanie tekstu o broni biologicznej do kodu?
Dodanie treści o broni biologicznej i nuklearnej niesie za sobą bardzo poważne skutki prawne. Co więcej, automatyczne systemy rządowe monitorujące infrastrukturę krytyczną mogą błędnie sklasyfikować takie logi. Zatem atak na zwykłego użytkownika smartfona może wygenerować fałszywy alert w narodowych centrach bezpieczeństwa komputerowego (CERT). Mimo to twórcy złośliwego oprogramowania akceptują to ryzyko, aby uchronić swoje narzędzia przed wczesnym wykryciem.
Wprowadzenie niebezpiecznych treści do skryptów ma jeszcze jeden efekt uboczny. Narzędzia analityczne używane przez badaczy bezpieczeństwa (piaskownice) mogą odrzucać pliki ze względów bezpieczeństwa operacyjnego. Przez to badacze tracą cenne minuty na ręczne obejście zabezpieczeń własnych laboratoriów. Złożoność tego problemu opisano w analizie BleepingComputer, wskazując na rosnącą złożoność ataków mobilnych.
Narzędzia analityczne (piaskownice) automatycznie odrzucają pliki zawierające tekst o broni biologicznej ze względów bezpieczeństwa operacyjnego. Badacze bezpieczeństwa muszą ręcznie omijać własne zabezpieczenia laboratoriów, co daje atakującym dodatkowy czas na działania wewnątrz zainfekowanego urządzenia.
Często zadawane pytania
Jak twórcy złośliwego oprogramowania wykorzystują teksty o broni nuklearnej?
Twórcy złośliwego oprogramowania wykorzystują teksty o broni nuklearnej jako warstwę izolacyjną dla systemów DLP. Według analizy badaczy z McAfee, fałszywe alarmy o próbie exfiltracji danych państwowych skutecznie odwracają uwagę od właściwego kodu kradnącego hasła.
Czego faktycznie szuka to złośliwe oprogramowanie?
Złośliwe oprogramowanie celuje przede wszystkim w aplikacje wallet oraz portfele kryptowalutowe zainstalowane na smartfonach z systemem Android. Złośliwe skrypty próbują przechwycić frazy seed, które są niezbędne do odblokowania dostępu do środków na kontach ofiary.
Dlaczego systemy bezpieczeństwa dają się oszukać?
Systemy bezpieczeństwa dają się oszukać, ponieważ algorytmy skanujące opierają się na analizie słów kluczowych. Kiedy system DLP natrafia na terminy z dziedziny fizyki jądrowej lub broni biologicznej, natychmiast generuje fałszywy alarm, co zapycha monitoring.
Jakie są metody infekcji używane przez atakujących?
Głównym wektorem ataku stosowanym przez przestępców są wiadomości SMS zawierające linki do phishingowych stron. Strona docelowa wyłudza uprawnienia do instalacji aplikacji spoza oficjalnego sklepu Google Play, co umożliwia infiltrację systemu operacyjnego.