Kematian kradljivac zloupotrebljava PowerShell

AUTOR ·

Kematian je novi zlonamjerni softver za krađu informacija kojeg su sigurnosni istraživači kompanije CYFIRMA otkrili na GitHub platformi. Za razliku od drugih kradljivaca koji se obično prodaju po modelu zlonamjerni softver kao usluga (eng. Malware-as-a-Service – MaaS) kroz mjesečnu pretplatu, Kematian je zlonamjerni softver otvorenog kôda i slobodno dostupan svima, što ga veoma privlačnim u zajednici sajber kriminala.

Kematian Stealer

Kematian kradljivac zloupotrebljava PowerShell; Source: Bing Image Creator

KEMATIAN KRADLJIVAC

Kematian kradljivac je zlonamjerni softver zasnovan na PowerShell komandnom okruženju dizajniran za tajnu eksfiltraciju podataka iz kompromitovanih sistema. Nalazi se na GitHub spremištu pod nalogom “Somali-Devs” koje uključuje program za izgradnju koji omogućava korisnicima da konfigurišu funkcije i unose detalje C2 servera preko internet interfejsa, generišući prilagođene zlonamjerne binarne datoteke za široku upotrebu. Ova dostupnost Kematian kradljivac kao softvera otvorenog kôda čini ga dostupnim svima koji su zainteresovani za aktivnosti sajber kriminala.

 

Funkcionisanje

Zlonamjerni softver počinje svoj rad sa 64-bitnom prenosivom izvršnom datotekom za učitavanje napisanom u C++ programskom jeziku. Primarna funkcija ovog učitavača je da preuzme i izvrši glavnu PowerShell skriptu sa komandnog i kontrolnog (C2) servera napadača. Ovaj učitavač sadrži zamagljenu skriptu unutar svog odjeljka resursa, dizajniranu da izbjegne otkrivanje i analizu od strane bezbjednosnih rješenja.

Kada se zlonamjerni softver izvrši na kompromitovanom sistemu, on pokreće proces dešifrovanja PowerShell skripte koristeći RC4 algoritam. Dešifrovana batch datoteka se zatim pokreće sa povišenim privilegijama, obezbeđujući da sljedeća PowerShell skripta može da radi bez ometanja od strane bezbjednosnih rješenja ili korisničkih dozvola.

 

Mogućnosti

Kematian kradljivac je prvenstveno dizajniran za eksfiltraciju podataka. Sakuplja različite vrste osjetljivih informacija kao što su akreditivi, kolačići i datoteke sa kompromitovanih sistema. Zlonamjerni softver koristi kombinaciju tehnika za prikupljanje ovih podataka, uključujući ubrizgavanje procesa, komunikaciju preko internet udica (eng. webhooks) i manipulaciju datotekama.

 

Ubacivanje procesa

Kematian kradljivac koristi ubrizgavanje procesa za krađu akreditiva uskladištenih u memoriji pokrenutih procesa kao što su pretraživači ili klijenti elektronske pošte. On ubrizgava svoju PowerShell skriptu u ove procese, omogućavajući mu da pristupi njihovim podacima bez ostavljanja tragova za sobom.

 

Komunikacija preko internet udica

Zlonamjerni softver koristi internet udice za eksfiltraciju ukradenih informacija sa kompromitovanih sistema na servere koje kontroliše napadač. Internet udice su karakteristika mnogih aplikacija i usluga koje omogućavaju spoljnim programima ili skriptama da šalju podatke u realnom vremenu kada se dogode određeni događaji. Kematian kradljivac koristi ovu funkcionalnost za prenos prikupljenih podataka, što otežava bezbjednosnim rješenjima da otkriju anomalan mrežni saobraćaj.

 

Manipulacija datotekama

Zlonamjerni softver takođe manipuliše datotekama na kompromitovanim sistemima da bi ukrao osjetljive informacije kao što su akreditivi uskladišteni u konfiguracionim datotekama ili datotekama evidencije. Koristi PowerShell ugrađene mogućnosti manipulacije datotekama za čitanje i prenos ovih datoteka, dodatno skrivajući svoje aktivnosti od bezbjednosnih rješenja.

 

Dodatni moduli

Kematian kradljivac uključuje mogućnost preuzimanja dodatnih modula za proširenu funkcionalnost. Ovi moduli mogu da obavljaju različite zadatke kao što su praćenje korisničkog unosa (eng. keylogging), snimanje ekrana, ili čak izvršavanje proizvoljnih PowerShell komandi na kompromitovanim sistemima. Ova fleksibilnost čini ga svestranim alatom za zlonamjerne aktere koji žele da prošire svoje mogućnosti napada.

 

Tehnike izbjegavanja

Kematian kradljivac zlonamjerni softver koristi različite tehnike izbjegavanja da bi izbjegao otkrivanje i obezbijedio uspješno izvršenje na kompromitovanim sistemima. Evo nekih poznatih tehnika izbjegavanja povezanih sa ovim zlonamjernim softverom:

 

Zamagljena skripta

Zamagljena skripta Kematian kradljivaca u odjeljku resursa njegovog C++ učitavača pomaže mu da izbjegne otkrivanje i analizu pomoću bezbjednosnih rješenja. Upotreba enkripcije, base64 kôdiranja ili drugih sličnih tehnika čini obrnuti inženjering i statičku analizu izazovnim za lovce na prijetnje i analitičare.

 

Provjere protiv analize kôda

Kematian kradljivac uključuje provjere protiv analize kôda kako bi se spriječilo njegovo izvršavanje u izolovanim okruženjima (eng. sandbox) ili virtuelnim mašinama. Ove provjere uključuju provjeru prisustva određenih datoteka ili procesa koji ukazuju na bezbjednosno rješenje, kao što je antivirusni softver ili alati za otklanjanje grešaka. Ako ove provjere otkriju okruženje za analizu, zlonamjerni softver će se sam prekinuti kako bi izbjegao otkrivanje i dalju istragu.

 

Ciljani podaci

Kematian kradljivac je dizajniran da prikriveno izvlači osjetljive podatke iz različitih aplikacija i sistema koji rade na Windows operativnom sistemu. Mogućnosti ovog kradljivaca su opsežne i uključuju:

  1. Izvlači osjetljive informacije iz aplikacija za razmjenu poruka kao što su Skype, WhatsApp, Telegram, Discord, Viber, Pidgin,
  2. Prikuplja podatke sa platformi za igre kao što su Steam, Minecraft, EA Desktop, Ubisoft Game Launcher,
  3. Prikuplja informacije sa VPN usluga kao što su OpenVPN, ProtonVPN, Surfshark VPN,
  4. Krade akreditive i druge osjetljive podatke iz klijenata elektronske pošte kao što su MailBird, Thunderbird,
  5. Eksfiltrira akreditive FTP klijenta kao što je FileZilla i druge povezane informacije,
  6. Pokušava preuzeti podatke iz menadžera lozinki, posebno ako si integrisani u internet pregledače,
  7. Sakuplja informacije o novčanicima kriptovaluta,
  8. Snima slike pomoću veb kamere i pravi snimke ekrana radne površine,
  9. Obrađuje datoteke kolačića i kompresuje prikupljene podatke u ZIP datoteku za eksfiltraciju.

 

ZAKLJUČAK

Kematian kradljivac je kradljivac informacija koji predstavlja značajnu prijetnju sajber bezbjednosti zbog svoje sofisticiranosti i distribucije otvorenog kôda na GitHub platformi. Njegova jednostavnost upotrebe, prilagodljivost i napredne tehnike izbjegavanja čine ga atraktivnim izborom za zlonamjerne aktere koji žele da prošire svoje mogućnosti napada.

Zlonamjerni softver dolazi sa alatom za izgradnju koji omogućava korisnicima da konfigurišu funkcije i unose detalje C2 servera preko internet interfejsa, generišući zlonamjerne binarne datoteke koje zlonamjerni akteri mogu da koriste u svoje zlonamjerne svrhe. Uprkos tome što se na GitHub platformi tvrdi da je obrazovna alatka, potencijalna zloupotreba ovog kradljivaca otvorenog kôda predstavlja značajan rizik za pojedince i organizacije koje ništa ne sumnjaju. Zato je od ključnog značaja primjena robusnih mjere sajber bezbjednosti kako bi se zaštitili sistemi i podaci od ovakvih prijetnji.

 

ZAŠTITA

Da bi se zaštitili od Kematian kradljivaca, preporučuje se implementacija višeslojnog pristupa sajber bezbjednosti. Evo nekoliko osnovnih koraka i mjera koje se mogu preduzeti:

  1. Investirati u robustan softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koji uključuje napredne mogućnosti otkrivanja prijetnji i prevencije. Ovo će vam pomoći da identifikujete i zaustavite zlonamjerne aktivnosti pre nego što prouzrokuju štetu ili kompromituju korisničke sisteme,
  2. Koristiti renomirani antivirusni softver instaliran na svim krajnjim tačkama da bi se brzo otkrili i uklonile sve poznati zlonamjerni sadržaji. Redovno ažurirati ova rješenja kako bi se osiguralo da mogu da zaštite od najnovijih prijetnji,
  3. Redovno primjenjivati ispravke, ažuriranja i hitne ispravke za operativne sisteme, aplikacije i alate trećih strana da bi se riješile ranjivosti koje bi napadači mogli da iskoriste,
  4. Implementirati politiku jakih lozinki na svim korisničkim nalozima, što zahteva složene lozinke sa redovnim izmjenama. Razmisliti o primljeni autentifikacije u više koraka (eng. multi-factor authentication – MFA) ili autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) za dodatni nivo bezbjednosti,
  5. Obezbijediti stalnu obuku i programe podizanja svesti kako bi se pomoglo zaposlenima da razumiju rizike koje predstavlja zlonamjerni softver kao što je Kematian kradljivac, kao i najbolje prakse za identifikaciju i izbjegavanje potencijalnih prijetnji,
  6. Implementirati robusno rješenje za nadgledanje mreže koje može da otkrije anomalno ponašanje ili pokušaje neovlaštenog pristupa u realnom vremenu. Ovo će omogućiti da se brzo odgovori na bilo koju sumnjivu aktivnost na sistemima organizacije,
  7. Koristiti internet filtere i kontrolu sadržaja da bi se blokirale poznate zlonamjerne internet lokacije, internet stranice za krađu identiteta i druge potencijalne prijetnje. Redovno ažurirati ove liste kako bi se osiguralo da pokrivaju najnovije prijetnje,
  8. Redovno praviti rezervne kopije svih kritičnih podataka, koji se mogu brzo vratiti u slučaju napada koji ciljaju na integritet podataka,
  9. Koristiti kontrolu pristupa zasnovanu na ulogama (eng. role-based access control – RBAC) i upravljanje privilegijama da bi se osiguralo da korisnici imaju samo potrebne dozvole za obavljanje svojih radnih funkcija. Ovo će pomoći da se smanji rizik od insajderskih prijetnji i nenamjernog curenja podataka.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.