VIPKeyLogger kradljivac podataka
Sigurnosni istraživači kompanije ForcePoint su izvijestili o alarmantnom porastu aktivnosti koja uključuje VIPKeyLogger, novi zlonamjerni softver za krađu informacija koji se distribuira putem phishing kampanja. Ovaj zlonamjerni softver postaje prepoznatljiv po svojim skrivenim operacijama i širokim mogućnostima, zbog čega brzo postaje omiljen među zlonamjernim akterima širom sveta.
VIPKEYLOGGER
VIPKeyLogger je evolucija Snake Keylogger (poznatog još kao 404 Keylogger) zlonamjernog softvera zasnovanog na pretplatničkom modelu i predstavlja značajan problem u digitalnom okruženju. Zlonamjerni softver se prvenstveno distribuira putem phishing kampanja koje ciljaju korisnike sa primamljivom elektronskom poštom koji sadrže zlonamjerne priloge. Ovi prilozi, prerušeni u Microsoft 365 ili arhivske datoteke, sadrže izvršni sadržaj dizajniran da pokrene lanac napada zlonamjernog softvera po otvaranju.
Funkcionisanje
VIPKeyLogger nije samo još jedan zlonamjerni softver; to je zamršena mreža kôda skrivena unutar steganografskih slika koja izvršava svoje operacije nakon aktivacije. Korištenje ovakvih prikrivenih tehnika čini izazovom za antivirusni softver da efikasno otkrije i neutrališe prijetnju. Ovaj prikriveni pristup omogućava VIPKeyLogger zlonamjernom softveru da obavlja svoje operacije neotkriveno, povećavajući njegove šanse za uspeh u ciljanim napadima.
Nakon izvršenja, zlonamjerni softver pokreće niz radnji koje su dizajnirane da izbjegnu otkrivanje dok maksimizira količinu informacija koje može da ukrade iz sistema svoje žrtve. Zaražene datoteke postoje prvenstveno da bi se postigao ovaj cilj. Kada korisnici kliknu da otvore mamac datoteku, ona ispušta ili preuzima zaraženu datoteku u privremene ili startne direktorijume radi postojanosti.
Zlonamjerni softver iskorištava ranjivosti u datotekama Microsoft Office paketa, posebno CVE-2017-11882, da bi izvršio svoj korisni teret. Koristi Rich Text Format – RTF datoteke koje sadrže kôdirane podatke o objektima za preuzimanje dodatnih korisnih podataka sa udaljenog servera. Kada se otvori RTF prilog, on pokreće preuzimanje .NET izvršne datoteke, koja instalira VIPKeyLogger zlonamjerni softver. Ovaj izvršni fajl olakšava praćenje korisničkog unosa (eng. keylogging) i eksfiltraciju podataka uz održavanje postojanosti na kompromitovanom sistemu.
Prikupljanje podataka
Primarni cilj ovog zlonamjernog softvera je eksfiltracija podataka, koju postiže prikupljanjem širokog spektra osvetljivih informacija iz kompromitovanih sistema. Tipovi podataka koje VIPKeyLogger cilja su opsežni i uključuju:
- Prikupljanje informacija o sistemu: Ova funkcija prikuplja detalje specifične za uređaj kao što su naziv računara, verzija operativnog sistema, instalirani softver i hardverske komponente. Pored toga, prikuplja geografske informacije o lokaciji kompromitovanog sistema kako bi pomogao u ciljanim napadima,
- Podaci međumemorije (eng. clipboard): VIPKeyLogger nadgleda i bilježi sve podatke koje korisnici kopiraju u svoje međuspremnike, potencijalno otkrivajući osjetljive informacije kao što su lozinke ili povjerljive poruke,
- Snimci ekrana: Zlonamjerni softver periodično pravi snimke ekrana kompromitovanog sistema, pružajući zlonamjernim akterima vredan vizuelni uvid u tekuće aktivnosti,
- Kolačići i istorija pretraživača: VIPKeyLogger prikuplja kolačiće koje čuvaju internet pregledači, koji se mogu koristiti za održavanje trajnih sesija na različitim internet lokacijama. Pored toga, prikuplja podatke o istoriji pregledača, nudeći zlonamjernim akterima detaljan prikaz ponašanja korisnika na mreži,
- Akreditivi elektronske pošte: Presretanjem i bilježenjem pritisaka na tastere u vezi sa nalozima elektronske pošte, VIPKeyLogger omogućava zlonamjernim akterima da dobiju neovlašteni pristup osjetljivoj komunikaciji i potencijalno kompromituju dodatne sisteme povezane sa tim nalozima.
Prenos podataka i C2 server
Nakon što prikupi vrijedne informacije, VIPKeyLogger prenosi ukradene podatke preko Telegram platforme na komandne i kontrolne (C2) servere koji se nalaze na Dynamic DuckDNS serverima. Ovaj metod komunikacije omogućava zlonamjernim akterima da daljinski nadgledaju i kontrolišu kompromitovane sisteme, efikasno održavajući postojan pristup za buduću eksploataciju.
Korištenje Telegram platforme kao sredstva za eksfiltraciju podataka posebno je vrijedno pažnje, jer obezbjeđuje šifrovani kanal koji otežava presretanje sigurnosnim istraživačima ili antivirusnom softveru. Štaviše, korištenje Dynamic DuckDNS servera za C2 operacije osigurava da zlonamjerni akteri mogu lako da promjene svoje IP adrese i izbjegnu otkrivanje od strane agencija za sprovođenje zakona ili administratora mreže.
ZAKLJUČAK
VIPKeyLogger predstavlja značajan izazov u današnjem digitalnom okruženju. Njegova sposobnost da se sakrije unutar steganografskih slika pre nego što izvrši svoje operacije otežava otkrivanje i sprečavanje. Korisni teret ovog zlonamjernog softvera je dizajniran da eksfiltrira osjetljive podatke iz sistema žrtava koristeći mogućnosti praćenja korisničkog unosa, praćenje međumemorije, snimanje ekrana, prikupljanje podataka pretraživača i prikupljanje detalja o konfiguraciji elektronske pošte.
Ovaj širok spektar aktivnosti čini ga strašnim protivnikom u okruženju sajber bezbjednosti, potencijalno izlažući žrtve krađi identiteta, finansijskim prevarama i drugim oblicima sajber kriminala. Zbog toga je VIPKeyLogger dobar podsjetnik na uvijek prisutnu prijetnju koju predstavljaju zlonamjerni akteri, jer kako naše oslanjanje na tehnologiju raste, tako raste i sofisticiranost ovih zlonamjernih alata.
Korisnici moraju biti svjesni potencijalnih phishing pokušaja i preduzeti neophodne mjere predostrožnosti da zaštite svoje osjetljive informacije. Organizacije bi trebalo da investiraju u robustna rješenja za sajber bezbjednost koja su sposobna da efikasno otkriju i ublaže ovakve prijetnje.
Kako se digitalni napredak nastavlja, od suštinskog je značaja biti informisan o novim dešavanjima u svetu sajber kriminala i da u skladu s tim prilagodimo svoju odbranu. Čineći to, moguće je zajednički raditi na sigurnijoj digitalnoj budućnosti za sve.
ZAŠTITA
U nastavku će biti navedene sveobuhvatne preporuke za zaštitu od VIPKeyLogger mogućnog kradljivaca informacija:
- Potrebno je primjenjivati oprez prilikom otvaranja elektronskih poruka, posebno onih sa prilozima ili vezama koje izgledaju sumnjivo. Uvijek treba provjeriti identitet pošiljaoca pre nego što se klikne na bilo koju vezu ili preuzme prilog. U slučaju nedoumice, kontaktirati direktno pošiljaoca da bi se potvrdila autentičnost elektronske pošte;
- Uvjeriti se da je sistem na uređaju opremljen pouzdanim i ažuriranim antivirusnim softverom koji može da otkrije i blokira zlonamjerne priloge koji mogu da sadrže VIPKeyLogger ili slične prijetnje. Redovno ažurirati ovaj softver kako bi se osiguralo da može zaštititi uređaj od najnovijih poznatih prijetnji;
- Podesiti podešavanja klijenta elektronske pošte tako da se Microsoft Office dokumenti podrazumijevano otvaraju u zaštićenom prikazu, sprečavajući automatsko izvršavanje potencijalnih makroa. Ovaj jednostavan korak može značajno smanjiti rizik od infekcije;
- Ako postoji potreba da se omoguće makroi za određene datoteke, uvjeriti se da su digitalno potpisane i omogućeni samo kada je to potrebno. Nepotpisani makroi bi trebalo da budu podrazumijevano blokirani;
- Implementirati autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) na svim nalozima gdje god je to moguće. Ovo dodaje dodatni sloj bezbjednosti, otežavajući zlonamjernim akterima da dobiju pristup čak i ako uspiju da dobiju akreditive za prijavu putem praćenja korisničkog unosa ili drugih sredstava;
- Redovno praviti rezervne kopije osjetljivih podataka i osigurati da se rezervne kopije bezbjedno čuvaju van mreže ili u oblaku koristeći renomiranu uslugu sa jakim bezbjednosnim mjerama. U slučaju infekcije, moguće je brzo vratiti sistem u prethodno stanje bez gubitka vrijednih informacija;
- Obrazovati zaposlene o uobičajenim phishing taktikama i kako da ih identifikuju. Redovne sesije obuke mogu pomoći u smanjenju rizika da se postane žrtva phishing napada koji može da isporuči VIPKeyLogger ili drugi zlonamjerni softver;
- Preuzimati softver, aplikacije i ekstenzije samo iz pouzdanih izvora kao što su zvanične internet lokacije ili prodavnice aplikacija. Primjenjivati opreza kada je u pitanju besplatni ili piratski softver, koji često dolazi u paketu sa neželjenim dodacima kao što su softveri za praćenje korisničkog unosa;
- Redovno ažurirati svoj operativni sistem, internet pregledače i druge aplikacije kako bi se osiguralo da su sve poznate ranjivosti ispravljene, smanjujući rizik od iskorištavanja zlonamjernog softvera kao što je VIPKeyLogger;
- Uvjeriti se da je zaštitni zid omogućen i ispravno konfigurisan da blokira neovlaštene dolazne veze dok dozvoljava neophodan saobraćaj. Ovo može da spriječi zlonamjerne aktere da uspostave vezu sa sistemom nakon što isporuče softver za praćenje korisničkog unosa putem phishing kampanje;
Prateći ove preporuke, korisnici i organizacije mogu značajno smanjiti rizik od toga da postanu žrtva VIPKeyLogger zlonamjernog softvera ili sličnih kradljivaca informacija. Primjenjivati oprez i proaktivne mjere za zaštitu digitalne imovine, jer je sajber bezbjednost stalan proces koji zahteva stalnu pažnju i prilagođavanje na prijetnje koje se razvijaju.