Cyberprzestępcy cały czas szukają możliwości, aby wykraść nasze dane, dostać się do chronionych systemów lub zedrzeć z nas (lub firm) pieniądze. Nic się pod tym kątem nie zmienia, aczkolwiek warto wskazać na pewne zdarzenia lub trendy, które rządziły 2022 roku. A ten - niestety - był całkiem obfity w ataki cybernetyczne.
Każdy może stać się ofiarą ataku hakerskiego. Mnie, po wycieku danych z jednej z baz uratowało tylko 2FA - zwyczajnie przegapiłem ów fakt i nie zmieniłem hasła, które było przypisane do tego konta. Dlatego, jeżeli jeszcze tego nie robicie - polecam włączenie tej opcji. W najważniejszych, najistotniejszych usługach można spokojnie taką opcję znaleźć. I - rzecz jasna - apeluję o używanie generatorów / zbiorników haseł takich jak chociażby 1Password czy NordPass. Dlaczego nie LastPass? Trudno by mi było Wam polecić program / usługę, które stały się celem ataku...
Agent Tesla
Właściwie wszystkie firmy są zgodne - Agent Tesla to niezwykle niebezpieczny program, który działa jako keylogger, a i przy okazji wykrada inne dane użytkownika. Robi screenshoty, infiltruje urządzenie, a także sprawdza co dzieje się w przeglądarkach. Uznaje się go jako RAT (Remote Access Threat), który monitoruje m. in. Google Chrome, Outlooka, Firefoksa oraz inne aplikacje i poszukuje w nich danych wrażliwych. Jest w stanie także doinstalować inne złośliwe programy.
Agent Tesla jest najczęściej dystrybuowany za pośrednictwem kampanii phishingowych i jest sprzedawany i dystrybuowany na wielu forach hakerskich. Łatwo go zdobyć i łatwo dostosować do swoich potrzeb, co czyni go bardzo popularnym. Po infekcji przeszukuje maszynę w poszukiwaniu informacji takich jak nazwa komputera, dane klientów poczty elektronicznej, narzędzi FTP, klientów VNC i przeglądarek internetowych. Większość instalacji Agent Tesla wewnątrz złośliwych programów zawiera dużą, predefiniowaną listę przeglądarek internetowych, które malware próbuje znaleźć na maszynie ofiary. Jeżeli przeglądarki te zostaną zidentyfikowane, następnie sprawdza katalog "User Data" i pliki wskazujące na dane logowania, które zawierają identyfikatory poczty i dane uwierzytelniające zapisane profile.
Emotet oraz Formbook
Emotet jest natomiast bardzo zaawansowanym, samopropagującym się i łatwym do dostosowania, modularnym trojanem ładowanym do różnych programów niejako "obok", lub staje się elementem kampanii phishingowej. Emotet był kiedyś używany jako trojan bankowy, ale w 2022 roku był (i jest) wykorzystywany jako pomost dla innych złośliwych programów lub kampanii hakerskich. Wykorzystuje wiele metod utrzymywania się na maszynie i technik umożliwiających brak wykrycia.
Został kiedyś opisany jako "najgroźniejsze złośliwe oprogramowanie na świecie", po raz pierwszy odkryto go jako trojan bankowy w 2014 roku i z biegiem lat ewoluował w rozwiązanie modułowe dla cyberprzestępców. Był oferowany do wynajęcia innym hakerom, i najczęściej był używany do tego, aby zainstalować na komputerze ofiary inne rodzaje złośliwego oprogramowania, takie jak trojany bankowe lub ransomware. Jako rodzina zagrożeń - niezwykle niebezpieczny oraz bardzo trudny do wykrycia.
Formbook natomiast to spyware wycelowany w systemy operacyjne Windows i po raz pierwszy wykryto go w 2016 roku. Jest sprzedawany jako Malware-as-a-Service (MaaS) na darkwebowych forach - niezwykle ceniony za możliwości uniknięcia detekcji. FormBook zbiera dane uwierzytelniające z różnych przeglądarek internetowych, wykonuje zrzuty ekranu, monitoruje i rejestruje naciśnięcia klawiszy, a także może pobierać i wykonywać pliki zgodnie z poleceniami ze swojego C&C. Nie ma więc jednego scenariusza infekcji i działania cyberprzestępców z Formbookiem. Jako rodzina zagrożeń był używany w wieli kampaniach phishingowych i niestety - infekcji z jego udziałem było naprawdę sporo.
Poprzez w pełni zautomatyzowany proces, złośliwe Emotet było dostarczany do komputerów ofiar poprzez zainfekowane załączniki z wiadomości e-mail. I tutaj trzeba przyznać, że używany naprawdę ciekawych technik, aby oszukać niczego nie podejrzewających użytkowników i skłonić ich do otwarcia "niespodzianek". W przeszłości kampanie e-mail Emotet jawiły się nam jako faktury, powiadomienia o wysyłce paczek oraz informacje o COVID-19 - rzecz jasna w czasach pandemii.
Malware w sklepie Google Play
Nie ma miesiąca, abyśmy o tym nie wspominali. Niestety Google ma spory problem z tego typu zagrożeniami i trzeba przyznać, że w dalszym ciągu obserwujemy niebezpieczne programy, które buszują po repozytorium. Najczęściej, zachęcające opisy oraz kampanie reklamowe wewnątrz sklepu skłaniają użytkowników do pobrania "super-hiperprzydatnego narzędzia", które może być notatnikiem, latarką, a nawet grą w której można wygrać niesamowite, oczywiście fałszywe nagrody. Obok takiego programu mogą działać złośliwe "dodatki" wykradające dane, albo zamulające urządzenie poprzez wykorzystywanie jego zasobów: do oszukiwania mechanizmów reklamowych Google i zarabiania na tym pieniędzy.
Jak nie dać się oszukać? Wystarczy rozwaga i pobieranie aplikacji TYLKO od sprawdzonych producentów, albo tych najpopularniejszych, które z bardzo małym prawdopodobieństwem mogą dystrybuować malware. Oczywiście zawsze może się zdarzyć, że coś pójdzie bardzo nie tak - aczkolwiek taka taktyka w wielu przypadkach pozwala na ogromne zwiększenie naszego poziomu bezpieczeństwa. Opisanie jednego malware'u dla Androida jest tutaj niemożliwe, bo było ich naprawdę mnóstwo. Polecamy inne nasze teksty na ten temat:
- Niebezpieczne aplikacje w Google Play. Sprawdź, czy je masz i usuń
- Twój telefon z Androidem może mieć malware. Lepiej sprawdź
- Pobrana 2 miliony razy - to oszustwo. Sprawdź, czy ją masz
Nie warto również używać innych repozytoriów niż Google Play. Może być tak, że osoby umieszczające tam paczki .apk z programami, dorzucają coś "od siebie". I przenigdy nie jest to miła niespodzianka dla ofiary. Kończy się to w najgorszym razie "zamuleniem" urządzenia. W najgorszym? Kradzieżą danych oraz pieniędzy.
Fleeceware w Google Play i AppStore
Normalne aplikacje, ale z absurdalną ceną za subskrypcję. Wyobraźcie sobie, że pobieracie program, ale ten - aby używać pełni jego funkcji, prosi Was o zapłacenie kilku-kilkunastu dolarów. Okej, niech będzie. Tylko nie wiecie o tym, że będziecie płacić co kilkanaście dni, albo że po przegapieniu okresu próbnego (darmowego), zapłacicie kilka stówek. Wtedy robi się mały problem.
Fleeceware są podstępne, ponieważ w kodzie takich aplikacji zazwyczaj nie ma nic złośliwego. Nie kradną one danych użytkownika ani nie próbują przejąć kontroli nad urządzeniem, co oznacza, że nie ma w nich nic złośliwego, co mogłoby zostać wychwycone przez proces weryfikacji Google i Apple. Zamiast tego, programy te działają jak obiecano, ale problemem w nich są opłaty. Fleeceware to często aplikacje użytkowe: narzędzia, takie jak proste filtry i edytory zdjęć oraz filmów, horoskopy, skanery kodów QR i kodów kreskowych lub aplikacje takie jak latarki i niestandardowe klawiatury. Choć aplikacje typu fleeceware nie przechwytują danych użytkownika ani nie uskuteczniają oszustw wewnątrz programów reklamowych z konkretnego urządzenia - umykają uwadze operatorów repozytoriów.
Warto być bezpiecznym i pamiętać o trendach, które rządzą i komputerami i sprzętami mobilnymi. Nie dać się złapać jest obecnie sztuką - codziennie pojawia się nawet pół miliona nowych cyberzagrożeń. I każde może trafić właśnie na Ciebie i Twoją firmę. Warto uważać.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu