Zaraza bot kradljivac
Sigurnosni istraživači su otkrili novi zlonamjerni softver za krađu podataka pod nazivom Zaraza bot, koji se nudi na prodaju putem Telegram kanala, također koristi ovu popularnu uslugu za razmjenu poruka kao komandni server (C2).
Zaraza bot kradljivac; Dizajn: Saša Đurić
Zaraza bot zlonamjerni softver
Zaraza bot cilja veliki broj Internet pregledača i aktivno se širi preko ruskog Telegram hakerskog kanala koji je popularan među među zlonamjernim akterima. Jednom kada zlonamjerni softver inficira računar žrtve, preuzima osjetljive podatke i šalje ih na Telegram server gdje im napadači mogu odmah pristupiti. Ovaj zlonamjerni softver imam mogućnost krađe podataka iz 38 Internet pregledača, uključujući Google Chrome, Microsoft Edge, Opera, AVG Browser, Brave i Yandex.
Nakon uspješne infekcije počinje izvlačenje podataka vezanih za Internet bankarstvo, kripto novčanike, naloge elektronske pošte i drugih informacija vezanih za pristup vrijednim Internet lokacijama. Napadači ove podatke mogu da iskoriste u različite zlonamjerne svrhe, kao što su krađa identiteta, finansijske prevari i neovlašten pristup privatnim i poslovnim nalozima korisnika.
Ovaj tip napada može biti štetan za korisnike, jer napadači dolaze u posjed informacija koje korisnici i poslovne organizacije koriste kako bi zaštitili svoju privatnost, bezbjednost i poslovanje.
“Zaraza bot cilja veliki broj Internet pregledača i aktivno se distribuira na ruskom Telegram hakerskom kanalu popularnom među zlonamjernim akterima. Kada zlonamjerni softver zarazi računar žrtve, on preuzima osjetljive podatke i šalje ih na Telegram server gdje im napadači mogu odmah pristupiti.”
– Uptycs –
Mogućnosti
Zaraza bot ima mogućnost da izdvoji podatke za prijavu na Internet stranicu iz Internet pregledača i sačuva ih u tekstualnoj datoteci. Pored toga, može da napravi snimak ekrana aktivnog prozora žrtve, koji se zatim čuva u JPG formatu datoteke. Ukradeni podaci se naknadno prenose na bot server gdje im napadač može pristupiti.
Zaraza bot je 64-bitna binarna datoteka sastavljena pomoću C# programskog jezika, dizajnirana da cilja čak 38 Internet pregledača. Za čuvanje lozinki u bazi podataka Internet pregledača koriste se različite metode šifrovanja – novi pregledači koriste potpis lozinke v80.
Počevši od verzije v10 i v11, kositi se šifrovanje zasnovano na glavnom ključu da bi se bezbjedno čuvale korisničke lozinke. Šifrovana lozinka je dodatno zaštićena sa Windows DPAPI funkcijom, koja se ubacuje na početak niza, a onda se ključ šifrira korištenjem Base64 i čuva lokalno u datoteci lociranoj u mapi User Data. Stariji Internet pregledači koriste samo Windows DPAPI.
Bez obzira na sve, napadači su uspjeli da dođu do glavnog ključa i uspjeli da izvuku tri podatka:
- origin_url
- username_value
- password_value.
Nakon što je uspješno izvuče šifrovane lozinke iz Internet pregledača, Zaraza bot ih čuva u datoteci output.txt. Slično je i sa snimcima ekrana, gdje se koristi metoda CopyFromScreen() za pravljenje snimaka ekrana, koji se čuvaju kao Screen.jpg na istoj lokaciji kako i output.txt. Napadač dobija snimljene informacije (output.txt i Screen.jpg) putem Telegram bot kanala gdje se podaci dijele, a za koji je analizom mrežnog saobraćaja utvrđen da se nalazi u Rusiji.
Dokazi koje su prikupili sigurnosni istraživači, ukazuju da Zaraza bot radi na komercijalnoj osnovi, nudeći drugim zlonamjernim akterima korištenje ovog alata za određenu pretplatu. Trenutno nije jasno kako se zlonamjerni softver širi, ali kradljivci informacija su obično koristili nekoliko metoda kao što su zlonamjerne reklame i socijalni inženjering u prošlosti.
Zaštita
Korisnicima se preporučuje redovno ažuriranje lozinki, paćenje pozitivnih bezbjednosnih praksi korištenja mrežnih resursa, korištenje provjere identiteta u više koraka, kao i redovno ažuriranja softvera, bezbjednosnih aplikacija i operativnog sistema.
Poslovne organizacije bi trebalo da koriste bilo koje EDR/XDR koje podržava detekciju korištenjem YARA pravila, kako bi mogli iskoristiti već definisana YARA pravila za ovu prijetnju.
