Meduza kradljivac
Sigurnosni istraživači su otkrili novi zlonamjerni softver za krađu podataka namijenjen za napad na Windows operativne sisteme pod nazivom Meduza. Novi kradljivac informacija navodno ima funkcije koje izbjegavaju otkrivanje i ima mogućnost da prikuplja podatke i o korisnicima i o sistemima.
Image by Syaibatul Hamdi from Pixabay
Meduza kradljivac
Zlonamjerni softver je napravljen od strane zagonetnog aktera poznatog kao “Meduza” i posebno je dizajniran da cilja Windows korisnike i organizacije, trenutno izbjegavajući samo deset određenih zemalja.
Meduza kradljivac ima samo jedan zadatak: sveobuhvatnu krađu podataka. On krade aktivnosti pretraživanja korisnika, preuzimajući široku lepezu podataka vezanih za pretraživač, od kritičnih podatka za prijavu, do vrijedne evidencije istorije pregledanja i pažljivo obilježenih Internet stranica (eng. bookmarks). Čak su i dodaci kripto novčanika, menadžeri lozinki i dodaci za provjeru identiteta u dva koraka (2FA) ranjivi.
Reklama
Zlonamjerni akteri koji stoje iza kradljivca Meduza koriste napredne marketinške strategije da promoviše svoju zlonamjernu ponudu. Kroz proračunati potez da steknu povjerenje, oni su pokrenuli statička i dinamička skeniranja Meduza zlonamjernog softvera za krađu koristeći neke od najuglednijih antivirusnih softvera u industriji. Zatim su podijeljeni snimci ekrana koji pokazuju da ovaj moćni zlonamjerni softver može da izbjegne otkrivanje ovih vrhunskih antivirusnih rješenja. Tu se ne zaustavljaju marketinški napori, jer se ovaj softver agresivno reklamira preko foruma za sajber kriminal i Telegram kanala.
Ono što Meduza kradljivca čini posebno opasnim je njegov operativni dizajn, jer ova binarna datoteka ne koristi tehnike zamagljivanja kôda, što je uobičajena praksa među sličnim prijetnjama, što otežava identifikaciju i praćenje. Pored toga, nastoji da uspostavi vezu sa serverom napadača pre nego što započne krađu podataka sa računara žrtve. Ako ova veza ne uspije, ona se brzo prekida, što dodatno komplikuje pokušaje da se uđe u trag njenim aktivnostima.
Ono što bi moglo da privuče potencijalne kupce ovog zlonamjernog softvera je određivanje cijena i dodatna kontrola koja se pruža pretplatnicima, a ona je prikazana kroz pristup ukradenim podacima preko veb panela prilagođenog korisniku. Panel nudi mnogo informacija, uključujući IP adrese, geografske podatke, nazive verzija operativnog sistema, pa čak i broj sačuvanih lozinki, novčanika i kolačića. Ova funkcija omogućava pretplatnicima da preuzmu ili izbrišu ukradene podatke direktno sa veb stranice, dajući im nivo kontrole bez presedana nad njihovim nezakonito stečenim informacijama. Uz to, zlonamjerni akteri predstavljaju i različite opcije pretplate, uključujući jednomjesečni, tromjesečni i doživotni plan pristupa, tako da jednomjesečni pristup košta $199, tromjesečni $399, a doživotni pristup $1.199.
Funkcionisanje
Kada se Meduza kradljivac uspješno infiltrira na uređaj korisnika, prvi korak koji obavlja je provjera geolokacije i ako se lokacija žrtve nalazi na unaprijed definisanoj listi isključenih zemalja, operacija zlonamjernog softvera se odmah prekida. Zemlje koje se nalaze na listi isključenih zemalja su: Rusija, Kazahstan, Bjelorusija, Gruzija, Turkmenistan, Uzbekistan, Jermenija, Kirgistan, Moldavija i Tadžikistan. Međutim, ako lokacija nije na listi, Meduza kradljivac provjerava da li je server napadača aktivan, a u slučaju da server nije dostupan, kradljivac takođe odmah prekida svoju aktivnost.
Funkcionisanje Meduza kradljivca; Izvor podataka: Uptycs
U slučaju da su oba uslova – provjera lokacije i dostupnost servera – povoljna, kradljivac počinje da prikuplja opsežne informacije. Ovo uključuje prikupljanje sistemskih informacija, podataka pretraživača, detalja menadžera lozinki, informacija registra u vezi sa rudarenjem i detalja o instaliranim video igrama. Jednom kada se prikupi ovaj sveobuhvatan skup podataka, oni se pakuju i otpremaju, spremni za slanje na server napadača, čime se završava operacija kradljivca unutar zaražene mašine.
Zaštita
Kako bi se zaštitili, korisnici bi trebalo da primjenjuju sljedeće mjere:
- Redovno ažuriraju operativni sistem i aplikacije, kako bi na vrijeme ispravili sigurnosne propuste koje zlonamjerni softver može da iskoristi.
- Da budu oprezni prilikom preuzimanja datoteka ili otvaranja priloga elektronske pošte, posebno iz nepoznatih izvora. Preporuka je obavezno skeniranje datoteka prije otvaranja.
- Upotreba jakih i jedinstvenih lozinki za sve korisničke naloge. Razmisliti i o upotrebi menadžera lozinki za bezbjedno skladištenje i upravljanje lozinkama.
- Omogućiti provjeru identiteta u dva koraka (2FA) gdje god je to moguće, kao dodatni sloj zaštite. Upotrebom 2FA korisnici mogu onemogućiti pristup korisničkim nalozima čak i ako su lozinke kompromitovane.
- Redovna analiza i uklanjanje nepotrebnih dodatka i softvera koji se ne koristi na uređaju kako bi se smanjio broj mogućih tački infekcije uređaja.
- Pažljivo pratiti finansijske račune i redovno nadgledati istoriju transakcija u potrazi za sumnjivim aktivnostima.
Zaključak
Meduza kradljivac ima mogućnost prikupljanja podataka vezanih za 19 menadžera lozinki, 76 kripto novčanika, 95 Internet pregledača, sistemskih metapodataka, Windows registara, kao i sa platformi Discord i Steam i listu instaliranih video igara.
Ovo pokazuje širok potencijalni uticaj infekcije, jer cilja ne samo na lične i finansijske podatke, već i na informacije specifične za sistem i potencijalno vlasničke informacije. Na kraju, brzo otpremanje i prenos prikupljenih podataka na server napadača naglašava brzinu kojom može doći do ugrožavanja korisnika i hitnu potrebu za efikasnim mjerama otkrivanja i zaštite.
Uz to, skup funkcija koje sadrži ovaj kradljivac, takođe prikazuje naprednu prirodu Meduza kradljivca i napor koji su spremni da ulože njegovi autori kako bi osigurali njegov uspjeh. A ono što je još zabrinjavajuće je to što se veliki broj antivirusnih softvera pokazao neefikasnim protiv ovog zlonamjernog softvera za krađu, ne uspjevajući da ga otkrije statičkom ili dinamičkom analizom.
