SectopRAT oponaša Google Chrome proširenja

AUTOR ·

SectopRAT, takođe poznat kao Arechclient2, je napredni zlonamjerni softver koji koristi sofisticirane tehnike zamagljivanja oponašajući legitimna Google Chrome proširenja. Sigurnosni istraživač Anurag iz kompanije Malwr-Analysis je rekao da ovaj trojanac za daljinski pristup (eng. remote access trojan – RAT) predstavlja značajan rizik zbog svoje sposobnosti da izdvoji sačuvane akreditive, nadgleda aktivnost korisnika i eksfiltrira osjetljive podatke.

SectopRAT

SectopRAT oponaša Google Chrome proširenja; Source: Bing Image Creator

SECTOPRAT

SectopRAT je veoma zamagljen .NET zlonamjerni softver za koji je primijećeno da se maskira kao legitimno proširenje za Google Chrome. Njegova sposobnost da se infiltrira na internet stranice koje posjećuju korisnici, hvatajući osjetljive unose kao što su korisnička imena, lozinke, detalji o kreditnim karticama i podaci iz obrazaca, naglašavaja njegov potencijal za nanošenje značajne štete.

Sposobnost zlonamjernog softvera da izbjegne otkrivanje i analizu može se pripisati njegovom korištenju naprednih tehnika zamagljivanja. Ovo značajno komplikuje napore obrnutog inženjeringa, praveći sigurnosnim istraživačima izazov da u potpunosti razumiju strukturu i funkcionalnost SectopRAT zlonamjernog softvera.

 

Distribucija

Strategija distribucije koju koristi SectopRAT zlonamjerni softver je dizajnirana da poveća njegovu efikasnost u izbjegavanju otkrivanja dok istovremeno proširuje njegov domet. Ovaj zlonamjerni softver se često maskira kao legitimni softver ili proširenja internet pregledače, što korisnicima otežava razlikovanje pravih aplikacija od onih zlonamjernih koje SectopRAT predstavlja.

U nedavnom otkriću, sigurnosni istraživač Anurag je otkrio inovativnu kampanju u kojoj se SectopRAT distribuirao pod maskom ekstenzije za Google Chrome pod nazivom “Google Docs”. Ova obmanjujuća taktika pojačava SectopRAT mogućnosti i povećava njegov potencijal za krađu podataka. Upotreba legitimnih imena softvera kao maski nije neuobičajena praksa među zlonamjernim akterima, ali je posljednjih godina postala sve naprednija. Usvajanjem naziva “Google Docs”, široko priznate i pouzdane aplikacije, SectopRAT zlonamjerni softver može lako da zaobiđe bezbjednosne mjere koje bi inače mogle da otkriju njegovu zlonamjernu primjenu.

Distribucija SectopRAT zlonamjernog softvera kao proširenja za Google Chrome posebno je zabrinjavajuća, jer proširenja internet pregledača imaju pristup osjetljivim korisničkim podacima kao što su kolačići, sačuvane lozinke, informacije o automatskom popunjavanju i šifrovani ključevi. Maskirajući se u legitimno proširenje za “Google Docs”, SectopRAT zlonamjerni softver može lako da dobije pristup ovim vrijednim podacima bez podizanja bilo kakve uzbune kod korisnika koji ništa ne sumnja.

 

Funkcionisanje

Uzorak koji je analizirao sigurnosni istraživač, distribuiran je pod imenom Bluefin.exe i pokazao je opsežne funkcije eksfiltracije podataka i nadzora. Mogućnosti zlonamjernog softvera se protežu dalje od jednostavne krađe podataka; takođe može da prati aktivnosti korisnika u realnom vremenu, pružajući zlonamjernim akterima obilje informacija o njihovim žrtvama.

Jedan od najzabrinjavajućih aspekata SectopRAT zlonamjernog softvera je njegova sposobnost da izvuče sačuvane akreditive iz internet pregledača i drugih aplikacija. Ova funkcija omogućava zlonamjernom softveru da održi postojan pristup u kompromitovanim sistemima, omogućavajući zlonamjernim akterima da sprovedu dalje radnje neotkriveno. Proces ekstrakcije uključuje skeniranje sačuvanih detalja za prijavu u popularnim internet pregledačima kao što su Google Chrome, Mozilla Firefox, Microsoft Edge i Opera, između ostalih. Pored toga, SectopRAT zlonamjerni softver može da cilja skladište akreditiva unutar aplikacija kao što su FTP klijenti, klijenti elektronske pošte i softver za udaljenu radnu površinu, značajno proširujući površinu napada.

Mogućnosti krađe podataka zlonamjernog softvera nisu ograničene samo na akreditive; takođe cilja na osjetljive informacije uskladištene u dokumentima na kompromitovanim sistemima. Ovo može uključivati lične ili poslovne kritične informacije kao što su finansijski podaci, intelektualna svojina i povjerljiva komunikacija. Eksfiltrirani podaci se obično šalju na server za komandu i kontrolu (C2) koji kontroliše zlonamjerni akter radi dalje eksploatacije (trenutne adrese 91.202.233.18:9000 i 91.202.233.18:15647).

Da stvar bude još gora, SectopRAT zlonamjerni softver koristi background.js da funkcioniše kao posrednik i zaobilazi bezbjednosne politike internet pregledača, obezbeđujući da se ukradeni podaci efikasno prenose iz content.js na C2 server. Ovaj metod prikrivene komunikacije otežava tradicionalnim alatima za otkrivanje prijetnji da identifikuju i blokiraju aktivnosti ovog zlonamjernog softvera. JavaScript upotreba u background.js i content.js omogućava SectopRAT zlonamjernom softveru da se neprimjetno stapa sa legitimnim procesima internet pregledača, dodatno komplikuje njegovu identifikaciju od strane bezbjednosnog softvera.

Pored toga, SectopRAT mogućnosti praćenja u realnom vremenu predstavljaju značajnu prijetnju korisnicima. Snimanjem pritisaka na tastere, hvatanja snimaka ekrana i pokreta miša, zlonamjerni akteri mogu da steknu uvid u mrežne aktivnosti žrtava u skoro realnom vremenu. Ovaj stalni nadzor im omogućava da prilagode svoju taktiku na osnovu uočenog ponašanja, povećavajući šanse za uspješnu eksploataciju.

Pored ovih funkcija, SectopRAT zlonamjerni softver takođe skenira sistemske detalje kao što su hardverske specifikacije, verzija operativnog sistema, podešavanja jezika i aktivni procesi. On identifikuje instalirani softver kao što je VPN (npr. NordVPN i ProtonVPN), pokretači igara (npr. Steam) i komunikacione platforme (npr. Discord i Telegram). Ovo sveobuhvatno prikupljanje podataka naglašava njegovu potencijalnu upotrebu u krađi akreditiva i operacijama nadzora, što ga čini značajnom prijetnjom i pojedincima i organizacijama.

 

Uticaj

Uticaj i rizici povezani sa SectopRAT zlonamjernim softverom su značajni, prvenstveno zbog njegovih mogućnosti u izdvajanju uskladištenih akreditiva, praćenju aktivnosti korisnika i eksfiltriranja osjetljivih podataka. Ovo ga čini efikasnim oruđem za zlonamjerne aktere koji imaju za cilj da izvrše krađu identiteta, finansijsku prevaru ili špijunažu. Ostajući neotkriven tokom dužih perioda, SectopRAT zlonamjerni softver omogućava zlonamjernim akterima dovoljno vremena da izvrše svoje zlonamjerne aktivnosti bez izazivanja sumnje.

Tajna priroda ovog zlonamjernog softvera svjedoči o njegovoj sofisticiranosti i razvoju prijetnji zasnovanih na internet pregledaču. Kako se sve više korisnika oslanja na internet aplikacije za svakodnevne zadatke, zlonamjerni akteri sve više ciljaju na ove platforme pomoću naprednih alata kao što je SectopRAT zlonamjerni softver. Ovo naglašava važnost održavanja čvrstih bezbjednosnih mjera za zaštitu od takvih prijetnji.

Sposobnost SectopRAT zlonamjernog softvera da se maskira kao legitimno proširenje za Google Chrome je posebno zabrinjavajuća, jer iskorišćava povjerenje korisnika u popularni softver. Pretvarajući se da je bezopasan, ovaj zlonamjerni softver može zaobići tradicionalna antivirusna rješenja i izbjeći otkrivanje sve dok već ne ugrozi sistem. Ovo naglašava potrebu za naprednijim mjerama bezbjednosti koje prevazilaze jednostavne metode detekcije zasnovane na potpisima.

 

ZAKLJUČAK

Trojanac za daljinski pristup (RAT) poznat kao SectopRAT predstavlja značajnu prijetnju po sajber bezbjednost zbog svoje napredne prirode i sposobnosti da se maskira kao legitimno proširenje za Google Chrome. Ovaj zlonamjerni softver, takođe prepoznat pod nazivom Arechclient2, napisan u .NET okruženju koristi zamagljivanje kôda što otežava bezbjednosnim analitičarima da razumiju njegovu strukturu. Primarna briga kod SectopRAT zlonamjernog softvera leži u njegovim mogućnostima da izvuče sačuvane akreditive, nadgleda aktivnosti korisnika i eksfiltrira osjetljive podatke kao što su detalji o kreditnoj kartici i podaci iz obrazaca na različitim internet lokacijama koje korisnik posjećuje.

Korisnici treba da budu oprezni kada preuzimaju i instaliraju softver iz nepoznatih izvora ili internet lokacija. Redovna ažuriranja za operativne sisteme i proširenja internet pregledača su takođe ključna u zaštiti od takvih prijetnji. Edukacija o najboljim praksama u vezi sa sajber bezbjednošću može pomoći korisnicima da prepoznaju potencijalne znake infekcije zlonamjernim softverom i reaguju na odgovarajući način.

Gledajući u budućnost, ključno je da sigurnosni istraživači nastave da proučavaju napredne tehnike zamagljivanja koje koristi ovaj zlonamjerni softver i slične prijetnje kao bi se razvile efikasnije metode otkrivanja. Pored toga, saradnja između javnog i privatnog sektora biće od suštinskog značaja za razmjenu obavještajnih podataka o prijetnjama i razvoj strategija kolektivne odbrane protiv ovih naprednih prijetnji.

 

ZAŠTITA

Evo nekoliko preporuka o tome kako efikasno zaštititi sisteme od ovog zlonamjernog softvera:

  1. Poboljšati bezbjednosne smjernice internet pregledača ograničavanjem izvršavanja nepouzdanih ekstenzija ili aplikacija, posebno onih sa sumnjivim poreklom kao što su .NET Ovaj jednostavan korak može značajno smanjiti rizik od infiltracije SectopRAT zlonamjernim softverom;
  2. Sprovoditi stroge kontrole nad Google Chrome ekstenzijama da bi se spriječile neželjene instalacije i izvršenja. Dozvoliti instaliranje samo pouzdanih ekstenzija iz provjerenih izvora. Redovno pregledati i upravljati listom instaliranih ekstenzija, uklanjajući sve one koje više nisu potrebne ili izgledaju sumnjivo;
  3. Blokirati mrežni saobraćaj do poznatih zlonamjernih IP adresa povezanih sa SectopRAT zlonamjernim softverom (91.202.233.18:9000 i 91.202.233.18:15647). Pored toga, pratiti bilo kakve sumnjive odlazne veze ili prenose podataka sa sistema na ove IP adrese;
  4. Redovno Skenirati kritične sistemske direktorijume i druge relevantne lokacije u potrazi za novokreiranim datotekama koje mogu biti povezane sa aktivnostima SectopRAT zlonamjernog softvera. Svako neuobičajeno kreiranje datoteka trebalo bi da izazove hitnu istragu;
  5. Koristiti jake, jedinstvene lozinke za sve naloge na mreži i razmislite o primjeni autentifikacije u više koraka (eng. multi-factor authentication – MFA) gdje god je to moguće. Ovo može pomoći u sprečavanju neovlaštenog pristupa čak i ako su akreditivi ugroženi SectopRAT ili drugim zlonamjernim softverom;
  6. Iako se tradicionalna antivirusna rješenja ne mogu pohvaliti uspješnim otkrivanjem SectopRAT zlonamjernog softvera zbog njegovih naprednih tehnika zamagljivanja, i dalje je neophodno imati pouzdan bezbjednosni paket instaliran na sistemima. Održavati softver ažuriranim i obavljati redovna skeniranja kako bi se osigurala optimalna zaštita od poznatih prijetnji, kao i od novih varijanti zlonamjernog softvera;
  7. Obrazovati zaposlene o rizicima povezanim sa klikom na sumnjive veze, preuzimanjem neprovjerenih datoteka ili pružanjem osjetljivih informacija na internetu. Podstaknuti kulturu budnosti i prijavljivanja svih sumnjivih događaja IT odjeljenju radi istrage;
  8. Razvijati plan odgovora na sajber prijetnju koji navodi jasne korake koje treba preduzeti u slučaju sumnje na SectopRAT infekciju ili druge prijetnje sajber bezbjednosti. Ovaj plan bi trebao da sadrži trenutnu izolaciju pogođenih sistema, postupke pravljenja rezervnih kopija i oporavka podataka i komunikacione kanale za prijavljivanje incidenata u organizaciji;
  9. Uvjeriti se da su svi softveri, operativni sistemi i bezbjednosni alati ažurirani kako bi se zaštitili od poznatih ranjivosti koje bi mogao da iskoristi SectopRAT ili drugi zlonamjerni softver. Redovna ažuriranja pomažu u održavanju jake odbrane od evoluirajućih prijetnji u digitalnom prostoru;
  10. Redovno praviti rezervnu kopiju važnih podataka na spoljnom uređaju za skladištenje ili usluzi u oblaku. U slučaju infekcije trojancem za daljinski pristup (RAT) SectopRAT, nedavna rezervna kopija može pomoći da se smanji uticaj na sistem i omogući brz oporavak.

Primjenom ovih preporuka moguće je značajno smanjiti rizik da organizacije i korisnici postanu žrtva SectopRAT zlonamjernog softvera i sličnih zlonamjernih prijetnji. Zato je potrebno biti na oprezu, biti informisan i davati prioritet bezbjednosti u cilju zaštite vrijednih podataka od zlonamjernih aktera.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.