Lažni PuTTY klijent isporučuje Rhadamanthys kradljivca

AUTOR ·

Lažni PuTTY klijent isporučuje Rhadamanthys kradljivca kroz kampanju zlonamjernog oglašavanja. Zlonamjerni akteri iskorištavaju povjerenje u PuTTY kao široko korišteni SSH i Telnet klijenta tako što predstavljaju lažnu internet lokaciju kroz zlonamjerne oglase koji se pojavljuju na vrhu rezultata Google pretrage.

PuTTY

Lažni PuTTY klijent isporučuje Rhadamanthys kradljivca; Source: Bing Image Creator

PUTTY ZLONAMJERNA KAMPANJA

PuTTY klijent je među najpopularnijim metama hakera iz nekoliko razloga. Prvo, koristi se za daljinski pristup serverima i sistemima u cjelini, pa je stoga odlična osnova za infiltraciju. Iskorištavanje ranjivosti ili pogrešnih konfiguracija u PuTTY klijentu može otkriti osjetljive podatke ili dozvoliti izvršavanje kôda na ciljanim mašinama. Dobijanje neovlaštenog pristupa kroz PuTTY klijent može zlonamjernim akterima omogućiti da postave backdoor i omogućiti im kretanje kako bi proširili svoj obim i uticaj.

Sada je uočena zlonamjerna kampanja oglašavanja u kojoj zlonamjerni akteri koriste reklame koje se oponašaju legitimni softver kao što je PuTTY za distribuciju programa za učitavanje zlonamjernog softvera. Ovi programi za učitavanje imaju za cilj da kompromituju sisteme i razmještaju dodatni korisni teret dok izbjegavaju otkrivanje.

U ovom slučaju su zlonamjerni akteri je zakupio oglas koji lažno tvrdi da je početna stranica PuTTY klijenta koji se pojavljuje na vrhu rezultata pretrage prije zvanične internet stranice. Kod potencijalnih žrtva iz Sjedinjenih Američkih Država dolazi do preusmjeravanja na lažnu putty.org stranicu, dok se drugi korisnici preusmjeravaju na legitimnu stranicu koja zaobilazi bezbjednosne provjere.

Čitav lanac je višestepeni i ispituje proxy servere i evidentira IP adrese žrtava prije nego što im servira konačni sadržaj sa zlonamjernim softverom. Ponašajući se kao PuTTY klijent, ovaj program za ubacivanje je napisan u Go programskom jeziku, koji zlonamjernim akterima pruža ulaznu tačku u kompromitovane sisteme za buduću eksploataciju. Obmane ove kampanje i složenost šeme isporuke korisnog tereta otkrivaju u kojoj mjeri zlonamjerni akteri mogu širiti zlonamjerni softver, a da ne budu primijećeni.

 

FUNKCIONISANJE

Žrtve iz SAD se preusmjeravaju na lažnu internet stranicu koja prikazuje putty.org, ali veza za preuzimanje je drugačija i pokreće preusmjeravanje u dva koraka koji na kraju dovode do preuzimanje zlonamjerne izvršne datoteke PuTTY klijenta sa adrese astrosphere[.]world. Server do kojeg vodi ova adresa vrši proxy provjeru i evidentira IP adresu žrtve vršeći pripremu za isporuku Rhadamanthys kradljivca.

Korisni teret maskiran kao PuTTY.exe je program za ubacivanje zlonamjernog softvera napravljen u programskom jeziku Go (verzija 1.21.0), koji je njegov autor vjerovatno nazvao “Dropper 1.3”. Izvršenje ovog program za ubacivanje zlonamjernog softvera uključuje provjeru IP adrese kako bi se osiguralo da javna IP adresa žrtve odgovara onima na koje cilja zlonamjerni oglas.

Uspješna provjera zahteva preuzimanje pratećeg korisnog tereta sa zasebnog servera, koristeći SSHv2 protokol za tajniji proces preuzimanja zlonamjernog softvera. Korisni teret koji se preuzima je Rhadamanthys, ozloglašeni kradljivac dizajniran da izvuče vrijedne informacije.

 

Rhadamanthys kradljivac

Rhadamanthys kradljivac informacija je zlonamjerni softver napisan u C++ programskom jeziku i prvi put je primijećen 22. avgusta 2022. godine. Ovaj zlonamjerni softver i dalje dobija ažuriranja i redovne ispravke grešaka. Verzija 0.5.0 je omogućila zlonamjernim akterima prilagodljivi okvir koji im omogućava da se suprotstave bezbjednosnim mjerama i iskorišćavaju ranjivosti postavljanjem ciljanih dodataka kao što je Data Spy koji nadgleda RDP prijave. Tu su i poboljšanja u konstrukciji i izvršavanju, omogućavanje ciljanja novčanika kriptovaluta i prilagođavanja u akviziciji Discord tokena.

Verzija 0.5.1 je došla sa poboljšanim mogućnostima krađe i poboljšanjima koja uključuju novi sistem datoteka koji omogućava povećano prilagođavanje za različite potrebe distribucije. Zlonamjerni softver je postao moderniji i prilagodljivi. Tu je uključen dodatak Clipper, mogućnost oporavka izbrisanih Google kolačića naloga, opcije Telegram obavještenja i mogućnost Windows Defender izbjegavanja. Trenutna verzija je 0.5.2.

Rhadamanthys kradljivac funkcioniše kroz opciju zlonamjerni softver kao usluga (eng. Malware-as-a-Service – MaaS). Kompatibilan je sa raznim operativnim sistemima i prilagođen je da podržava x86 i x64 arhitekturu. Zlonamjerni akteri koji razvijaju ovaj zlonamjerni softver tvrde da je sva mrežna komunikacija šifrovana i da svaka struktura ima jedinstven ključ za šifrovanje.

Rhadamanthys kradljivac je namijenjen da da izdvoji niz podataka, uključujući informacije iz sistemskih registara, detalje specifične za računar i podatke internet pregledača. Prodaje se na namjenskom Telegram kanalu po cijeni oko 59 američkih dolara ili 999 američkih dolara za doživotni pristup.

 

ZAKLJUČAK

Uticaj ove zlonamjerne kampanje oglašavanja predstavlja ozbiljnu opasnost za sistemske administratore i širu bezbjednosnu zajednicu. Sposobnost zlonamjernih aktera da iskoriste povjerenje u široko korišćene alate kao što je PuTTY klijent naglašava potrebu za stalnom budnošću i ispitivanjem izvora. To postavlja i pitanja o potencijalu sličnih napada usmjerenih na drugi softver otvorenog kôda koji čini okosnicu različitih operativnih sistema.

Sama upotreba programskog jezika Go za program za ubacivanje zlonamjernog softvera je primjetna, jer ukazuje na naprednu sofisticiranost zlonamjernih aktera i predstavlja izazov za sajber bezbjednosti, jer bezbjednosni timovi moraju da budu u toku sa najnovijim programskim jezicima i tehnikama koje napadači koriste.

Iako je ova konkretna kampanja prijavljena kompaniji Google, ona samo pokazuje kako zlonamjerni akteri uvijek mijenjaju svoje tehnike kako bi izbjegli bezbjednosne kontrole i izaziva zabrinutost u vezi sa dugoročnim posljedicama ovakvih napada.

 

ZAŠTITA

Kako bi se zaštiti, korisnici mogu primijeniti sljedeće preporuke:

  • Korištenje provjerenih sigurnosnih riješenja opremljenih naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Sva preuzimanja na internetu trebaju biti obavljena sa zvaničnih i provjerenih kanala,
  • Biti oprezan prilikom pretraživanja interneta, jer lažni i opasni sadržaji obično izgledaju autentični i bezopasni,
  • Korištene softvera ili dodataka za blokiranje oglasa je jednostavan i efikasan način zaštite od zlonamjernog softvera. Korištenje blokatora oglasa u kombinaciji sa drugim osnovnim zaštitama, kao što je antivirusni softver je dobra strategija zaštite od neželjenog zlonamjernog softvera,
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica,
  • Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.