FleshStealer napada Chrome i Mozilla korisnike

AUTOR ·

FleshStealer, napredni i nedavno razvijeni kradljivac podataka, predstavlja značajan rizik za međunarodne kompanije. Prvenstveno se fokusira na krađu vrijednih informacija kao što su detalji za prijavu, podaci o nalogu, finansijski podaci i korisnički podaci iz popularnih internet pregledača  kao što su Google Chrome i Mozilla Firefox, pokazuje otkriće sigurnosnih istraživača kompanije FlashPoint.

FleshStealer

FleshStealer napada Chrome i Mozilla korisnike; Source: Bing Image Creator

FLESHSTEALER

FleshStealer je nova vrsta zlonamjernog softvera za krađu informacija koja cilja na internet pregledače  zasnovane na Chromium i Mozilla projektima. Prvi put je otkriven u septembru 2024. godine i radi preko internet baziranog kontrolnog panela napisanog u .NET programskom jeziku, fokusirajući se na izdvajanje podataka iz preko 70 proširenja za kriptovalute zasnovane na pretraživaču i dodatka za autentifikaciju u dva koraka (eng. two-factor authentication – 2FA), kao i Discord  tokena i resetovanje Google kolačića radi održavanja trajnog pristupa korisničkim nalozima.

 

Karakteristike

Sigurnosni istraživači su proučavali sofisticirani arsenal koji koristi FleshStealer zlonamjerni softver i primijetili neke značajne karakteristike:

  • Izvršenje automatskog pokretanja ili prijavljivanja: Nakon uspješne infiltracije, FleshStealer zlonamjerni softver se uspostavlja kao trajna prijetnja postavljanjem rutine automatskog pokretanja tokom pokretanja sistema ili prijavljivanja korisnika. Ovo obezbjeđuje nastavak rada zlonamjernog softvera čak i nakon ponovnog pokretanja pogođenog uređaja,
  • Zamagljeni fajlovi ili informacije: Da bi izbjegao otkrivanje, zlonamjerni softver koristi različite tehnike maskiranja da bi prikrio svoju pravu prirodu i namjere. Ove taktike uključuju šifrovanje, pakovanje i druge oblike kamuflaže koji otežavaju bezbjednosnim rješenjima da identifikuju zlonamjerni softver;
  • Izbjegavanje virtuelizacije i zaštićenog okruženja: Prepoznajući važnost virtuelnih okruženja u analizi prijetnji, FleshStealer zlonamjerni softver izbjegava izvršavanje na virtuelnim mašinama kako bi spriječio bilo kakvu potencijalnu forenzičku analizu. Ova taktika osigurava da zlonamjerni softver ostane neotkriven tokom istraživanja;
  • Akreditivi iz skladišta za lozinke: Pored internet pregledača, zlonamjerni softver cilja na skladišta za lozinke za krađu akreditiva. Izvlačeći sačuvane akreditive za prijavu, može dobiti neovlašteni pristup različitim internet nalozima povezanim sa pogođenim korisnikom;
  • Akreditivi iz internet pregledača: Jedan od njegovih primarnih ciljeva je krađa akreditiva sačuvanih u pretraživaču. FleshStealer zlonamjerni softver je sposoban da izvuče informacije iz približno 70 proširenja za kriptovalute zasnovane na pretraživaču i dodatka za autentifikaciju u dva koraka (2FA), pored Discord tokena;
  • Otkrivanje procesa: Da bi održao postojanost na kompromitovanom sistemu, zlonamjerni softver nadgleda pokrenute procese za sve potencijalne bezbjednosne alate ili rješenja koja mogu predstavljati prijetnju njegovom daljem radu;
  • Podaci iz lokalnog sistema: Kada dobije pristup uskladištenim akreditivima i drugim osjetljivim podacima, FleshStealer zlonamjerni softver prikuplja dodatne informacije iz lokalnog sistema, kao što su lične datoteke, dokumenti i druga vrijedna sredstva;
  • Arhivirajte prikupljene podatke: Da bi olakšao efikasno preuzimanje, zlonamjerni softver kompresuje ukradene informacije u arhive za lak prenos preko internet usluga;
  • Preuzimanje preko internet usluge: Korišćenjem šifrovanih komunikacionih kanala i internet usluga za prenos podataka, FleshStealer zlonamjerni softver zaobilazi standardne mjere mrežne bezbjednosti, čineći otkrivanje i ublažavanje izazova za timove za sajber bezbjednost;
  • Korisnička podrška: Da bi pružio podršku svojoj bazi klijenata, zlonamjerni softver nudi korisničku uslugu 24/7. On dešifruje datoteke za evidenciju (eng. logs) direktno na serveru, obezbeđujući nesmetan rad i ekstrakciju podataka.

 

Funkcionisanje

Eskalacija privilegija je jedan od ključnih mehanizama koje FleshStealer zlonamjerni softver koristi za postizanje svojih ciljeva. Zlonamjerni softver koristi pouzdani Windows uslužni program sa povišenim privilegijama da zaobiđe kontrolu korisničkog naloga (eng.  user account control – UAC) i dobije administrativni pristup. Ovaj uslužni program, koji se nalazi u Windows10 i novijim verzijama, dio je okvira za upravljanje operativnim sistemom Windows.

Eksploatacija funkcioniše tako što mijenja određene ključeve sistemskih registara, upućujući sistemu da izvrši prilagođenu komandu ili zlonamjernu skriptu pod povišenim dozvolama. Pošto je to Microsoft aplikacija od povjerenja, operativni sistem joj dozvoljava da radi sa ovim privilegijama bez intervencije korisnika. Otimanjem ovog procesa, zlonamjerni softver dobija administrativna prava, omogućavajući mu da radi sa povišenim privilegijama i da neotkriveno izvršava dodatne komande ili korisna opterećenja (eng. payloads).

Izbjegavanje odbrane je još jedan kritičan aspekt operacije FleshStealer zlonamjernog softvera. Zlonamjerni softver uključuje rutinu dešifrovanja koja maskira njegove aktivnosti, pomažući mu da izbjegne otkrivanje tradicionalnim bezbjednosnim mjerama. Koristeći zamagljene nizove u kombinaciji sa operacijama registara, FleshStealer sakriva svoje radnje i kontroliše svoje operacije. Jednom dešifrovani, ovi nizovi se koriste za različite zadatke, uključujući manipulaciju registrom i podešavanje putanje.

Pored toga, FleshStealer zlonamjerni softver skenira okruženje na uređaju u potrazi za detaljnim sistemskim informacijama kako bi tačno otkrio da li radi u virtualnoj mašini ili izolovanom okruženju (eng. sandbox). Analizom hardverskih i mrežnih identifikatora kao što su CPU tip, GPU model, kapacitet RAM memorije, datum instaliranja sistema, aktivne IP adrese i IP mrežnog prolaza, zlonamjerni softver može da utvrdi da li je možda pod nadzorom sigurnosnih istraživača. Pored toga, zlonamjerni softver nadgleda aktivne prozore da bi identifikovao alate za otklanjanje grešaka ili hvatanje paketa, kako bih odmah zaustavio rad nakon otkrivanja ovih indikatora.

Otkrivanje procesa je još jedna taktika koju koristi FleshStealer zlonamjerni softver. Zlonamjerni softver se fokusira na identifikaciju aktivnih procesa internet pregledača koji čuvaju osjetljive korisničke podatke kao što su akreditivi za prijavu, tokeni sesije i istorija pregledanja. Praćenjem popularnih internet pregledača kao što su Chrome, Firefox, Microsoft Edge i Opera, FleshStealer zlonamjerni softver otkriva gdje se nalaze vrijedne informacije, proglašavajući svoje taktike prikupljanja u skladu sa tim. Ovaj selektivni pristup omogućava zlonamjernom softveru da odredi prioritete za ciljeve visokog prinosa, dok istovremeno smanjuje nepotrebne troškove obrade, omogućavajući mu da radi prikrivenije u okviru kompromitovanih sistema.

Kada se identifikuju, osjetljivi podaci se sistematski prikupljaju, sortiraju i pakuju u kompresovanu arhivu radi efikasnog eksfiltracije. Arhiviranjem podataka, FleshStealer zlonamjerni softver smanjuje svoj mrežni otisak tokom prenosa, smanjujući šanse za otkrivanje. Ovaj proces je obično automatizovan i pojednostavljen da se pokreće u intervalima, omogućavajući zlonamjernim akterima da brzo izvuku velike količine podataka bez izazivanja sumnje.

Eksfiltracija se dešava kroz bezbjedne, šifrovane komunikacione kanale koristeći internet servise za prenos podataka. Zaobilazeći standardne mjere mrežne bezbjednosti na ovaj način, FleshStealer zlonamjerni softver čini otkrivanje i ublažavanje izazovnim sa bezbjednosne timove. Korišćenje ovih bezbjednih veza od strane zlonamjernog softvera dodatno komplikuje napore da se otkriju sumnjive aktivnosti u vezi sa poznatom infrastrukturom za komandu i kontrolu (C2).

 

Uticaj

Uticaj FleshStealer zlonamjernog softvera na pojedinačne korisnike može biti razoran. Jednom kada se zlonamjerni softver infiltrira u sistem, može da ukrade osjetljive podatke kao što su akreditivi za prijavu, lični fajlovi, dokumenti i druga vrijedna sredstva. Ove informacije se zatim mogu koristiti za krađu identiteta, finansijsku prevaru ili dalju eksploataciju internet naloga pogođenog korisnika.

Organizacije su takođe izložene riziku od FleshStealer zlonamjernog softvera zbog njegove sposobnosti da cilja internet pregledače zasnovane na Chromium i Mozilla projektima. Uspješan napad može dovesti do eksfiltracije osjetljivih korporativnih podataka, ugrožavanja intelektualne svojine, poslovnih tajni ili povjerljivih informacija o klijentima. Ovo ugrožavanje može dovesti do značajnih finansijskih gubitaka, štete po reputaciju i potencijalnih pravnih posljedica za pogođenu organizaciju.

 

ZAKLJUČAK

FleshStealer zlonamjerni softver je značajna prijetnja u domenu kradljivaca informacija, ciljajući na datoteke visoke vrijednosti, akreditive i korisničke podatke iz popularnih internet pregledača zasnovanih na Chromium i Mozilla projektima. Njegova operativna efikasnost, napredne funkcije za zaštitu od detekcije i prilagodljivost čine ga ozbiljnim protivnikom.

Posljedice infekcije FleshStealer zlonamjernim softverom mogu biti ozbiljne kako za pojedince tako i za organizacije. Krađom akreditiva, zaobilaženjem autentifikaciju u dva koraka (2FA) i vraćanjem izbrisanih Google kolačića, zlonamjerni softver omogućava zlonamjernim akterima da dobiju neovlašteni pristup nalozima elektronske pošte, finansijskim platformama i novčanicima za kriptovalute. Ovaj neovlašteni pristup može dovesti do značajnih finansijskih gubitaka, krađe identiteta i drugih oblika sajber kriminala.

Obnavljanje izbrisanih Google kolačića dalje omogućava zlonamjernim akterima da prate aktivnosti korisnika ili da otmu sesije, pružajući im neprekidan pristup zaraženom sistemu. Pored toga, krađa Discord  tokena kompromituje privatnu komunikaciju i otvara puteve za dalje napade na kontakte žrtve. Ovo može dovesti do širokog uticaja, jer su osjetljive informacije izložene i iskorištene od strane zlonamjernih aktera.

Sve ovo pokazuju potrebu za proaktivnim pristupom sajber bezbjednosti koji prevazilazi jednostavno reagovanje na incidente kada se dogode. Usvajanjem rješenja za obavještavanje o prijetnjama i primjenom opreza u odnosu na nove prijetnje, moguće je bolje zaštiti korisnike i organizacije od naprednog zlonamjernog softvera kao što je FleshStealer. Ovakva situacija takođe naglašava važnost saradnje između profesionalaca za sajber bezbjednost, agencija za sprovođenje zakona i subjekata iz privatnog sektora u borbi protiv ovih prijetnji.

 

ZAŠTITA

Suočeni sa nadolazeći sajber prijetnjom koju predstavlja FleshStealer zlonamjerni softver, imperativ je za pojedince i organizacije da pojačaju svoju digitalnu odbranu. Ova nova vrsta zlonamjernog softvera za krađu informacija, sa svojim naprednim tehnikama izbjegavanja i mogućnostima ciljanog ekstrakcije podataka, zahteva proaktivan pristup kako bi se osigurala bezbjednost osjetljivih informacija. Evo nekoliko preporuka o tome kako se zaštititi od ovog zlonamjernog softvera:

  1. Održavati operativnih sistema i internet pregledače ažuriranim najnovijim bezbjednosnim ispravkama je ključno u odbrani od FleshStealer zlonamjernog softvera. Ova ažuriranja često uključuju ispravke za ranjivosti koje bi mogao da iskoristi zlonamjerni softver kao što je FleshStealer, tako da je neophodno da se odmah respektivno instaliraju;
  2. Redovno pratiti mrežnu aktivnost kako bi se otkrile neobične veze sa serverima za komandu i kontrolu. Ovo može pomoći da se identifikuju potencijalne infekcije i preduzmu odgovarajuće mjere prije nego što se napravi značajna šteta;
  3. Izbjegavati preuzimanje sumnjivih datoteka ili klikove na veze iz nepouzdanih izvora, jer su to uobičajeni vektori za distribuciju zlonamjernog softvera. Primjenjivati oprez sa elektronskim porukama sa prilozima ili vezama koje izgledaju neobično ili neočekivano, posebno kod onih za koje se tvrdi da su od finansijskih institucija ili drugih osjetljivih subjekata;
  4. Korištenje ažuriranih bezbjednosnih alata kao što je renomirani antivirusni softver koji može da otkrije napredne prijetnje kao što je FleshStealer zlonamjerni softver je od suštinskog značaja. Ovi programi mogu pomoći da se identifikuju i uklone sve zlonamjerne datoteke koje su se mogle provući kroz pukotine u sistemskom okruženju;
  5. Koristiti jake, jedinstvene lozinke za sve naloge na mreži i razmislite o primjeni autentifikacije u više koraka (eng. multi-factor authentication – MFA) gdje god je to moguće. Ovo može pomoći u sprečavanju neovlaštenog pristupa čak i ako su akreditivi ugroženi FleshStealer ili drugim zlonamjernim softverom;
  6. S obzirom na to da krađa Discord tokena može ugroziti privatnu komunikaciju i otvoriti puteve za dalje napade na kontakte, od suštinskog je značaja da obezbijediti i ove tokene. Koristite jake lozinke i razmislite o primjeni autentifikacije u više koraka (MFA) za vaš Discord nalog ako je dostupan;
  7. FleshStealer zlonamjerni softver je dizajniran da zaobiđe tradicionalnu odbranu, pa treba imati na umu da može da koristi napredne tehnike izbjegavanja, kao što je otkrivanje okruženja virtuelne mašine ili prekidanje operacija kada se otkriju alati za otklanjanje grešaka. Važno je biti informisan o najnovijim taktikama koje koristi zlonamjerni softver kao što je FleshStealer i prilagoditi mjere bezbjednosti u skladu sa tim;
  8. Sajber bezbjednost je stalna bitka, a informisanje je ključno u odbrani od prijetnji kao što je FleshStealer. Redovna edukacija o najnovijim trendovima u sajber bezbjednosti, najboljim praksama i obavještajnim podacima o prijetnjama kako bi se osigurala dobra opremljenost za zaštitu digitalne imovine;
  9. Slojeviti bezbjednosni pristup podrazumijeva korišćenje više odbrambenih mjera za stvaranje preklapajuće zaštite za sisteme. Kombinovanjem različitih tehnika kao što su zaštitni zidovi, sistemi za otkrivanje/prevenciju upada i rješenja za zaštitu krajnjih tačaka, možete značajno smanjiti rizik od uspješnog FleshStealer;
  10. U slučaju da je uređaj ugrožen, pravljenje rezervne kopije osnovnih datoteka može pomoći u brzom oporavku bez gubitka dragocjenih informacija. Koristiti usluge skladištenja u oblaku ili eksterne čvrste diskove za bezbjedno skladištenje rezervnih kopija.

Prateći ove preporuke, korisnici i organizacije mogu biti bolje pripremljeni za odbranu od FleshStealer zlonamjernog softvera i drugih naprednih sajber prijetnji u današnjem složenom digitalnom okruženju.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.