AgeoStealer: Nova prijetnja za ljubitelje video-igara

AgeoStealer, sofisticirani zlonamjerni softver za krađu informacija koji cilja igrače video igara širom svijeta, identifikovan je kao rastuća prijetnja u sajber bezbjednosti. Prema riječima stručnjaka kompanije Flashpoint, ovaj zlonamjerni softver koristi taktike socijalnog inženjeringa da bi se infiltrirao u sisteme, ugrožavajući osjetljive informacije i podatke za prijavu usput.

AGEOSTEALER

AgeoStealer se odnosi na vrstu zlonamjernog softvera koji je identifikovan kao kradljivac podatka. Kradljivci podatak su poznati po svojoj sposobnosti da kradu osjetljive informacije od nesvjesnih žrtava, a AgeoStealer nije izuzetak.

Primarna funkcija AgeoStealer zlonamjernog softvera je krađa podatka za prijavu i drugih vrijednih podataka od svojih meta, često koristeći taktike socijalnog inženjeringa kako bi prevario igrače da preuzmu zlonamjerni softver. Primijećeno je da ova posebna vrsta kradljivca podatka koristi popularnu komunikacionu platformu među igračima kao metod isporuke, što je čini još podmuklijom po prirodi.

 

Način isporuke

U stalno promjenljivom pejzažu sajber bezbjednosnih prijetnji, nije neuobičajeno vidjeti prijetnje koje koriste inovativne taktike, tehnike i procedure kako bi izbjegli otkrivanje i uspješno ugrozili svoje mete. Međutim, s vremena na vreme, određeni način isporuke se ističe kao posebno značajan zbog svoje smjelosti i efikasnosti. Takav je slučaj sa jedinstvenim mehanizmom isporuke AgeoStealer zlonamjernog softvera, koji je ostavio stručnjake za sajber bezbjednost zbunjene i iznenađene.

Zlonamjerni akteri koje stoje iza AgeoStealer zlonamjernog softvera su odlučile da iskoriste popularnu komunikacionu platformu među igračima kako bi direktno kontaktirali žrtve i testirali svoju “video igru”. Ovaj pristup na prvi pogled može djelovati bezopasno, ali je zapravo pametna trik osmišljen da zaobiđe tradicionalne kanale distribucije zlonamjernog softvera. Koristeći ovu taktiku, zlonamjerni akteri su u mogućnosti da dopiru do potencijalnih meta na način koji djeluje legitimno i ne predstavlja prijetnju, čime se povećavaju šanse za uspješno kompromitovanje.

Međutim, ispod naizgled bezopasne spoljašnjosti “video igre” krije se sofisticirani mehanizam isporuke koji je pažljivo izrađen da izbjegne otkrivanje od strane antivirusnog softvera. Sama “video igra” je zapravo kompresovana arhiva (rar, zip ili 7z) koja sadrži NSIS instalacijski program maskiran kao potpisani Unity instalacijski program. Ova pametna maska omogućava zlonamjernom softveru da izbjegne da bude označen tradicionalnim bezbjednosnim mjerama, što žrtvama otežava otkrivanje i uklanjanje.

 

Eskalacija privilegija

Istraživanjem mogućnosti AgeoStealer zlonamjernog softvera, postaje sve jasnije da je ovaj zlonamjerni softver dizajniran imajući u vidu izbjegavanje i krađu. Jedna od njegovih najznačajnijih karakteristika je njegova sposobnost korištenja tehnika eskalacije privilegija, što mu omogućava da dobije povećan pristup na kompromitovanim sistemima.

AgeoStealer koristi uobičajenu tehniku postavljanjem prečice unutar direktorijuma za pokretanje. Ovo omogućava zlonamjernom softveru da se automatski pokreće svaki put kada se sistem pokrene, pružajući početno uporište za dalju eksploataciju. Korišćenjem ove taktike, AgeoStealer se može etablirati kao stalna prijetnja, što otežava bezbjednosnim timovima da je otkriju i uklone.

Upotreba tehnika eskalacije privilegija nije jedinstvena za AgeoStealer; mnogi drugi zlonamjerni akteri su koristili slične taktike u prošlosti. Međutim, ono što izdvaja AgeoStealer je njegova sposobnost da kombinuje ove tehnike sa naprednim metodama izbjegavanja, što ga čini ozbiljnim protivnikom čak i za najiskusnije bezbjednosne profesionalce.

 

Tehnike izbjegavanja i zamagljivanje

Zlonamjerni akteri koji stoje iza AgeoStealer zlonamjernog softvera su očigledno uložili značajno vreme i trud u razvoj sofisticiranih tehnika izbjegavanja dizajniranih da izbjegnu otkrivanje tradicionalnim bezbjednosnim mjerama. Jedna od njegovih primarnih taktika je korišćenje prilagođenog JavaScript zamagljivanja, koje maskira njegove operacije od znatiželjnih očiju. AgeoStealer koristi zamagljene nizove da bi sakrio svoje akcije i kontrolisao svoje operacije, gdje nakon dešifrovanja, ovi nizovi se koriste za dobijanje izvornog kôda bez maskiranja za izvršenje. Ova tehnika zamagljivanja je posebno efikasna u izbjegavanju otkrivanja tradicionalnim bezbjednosnim mjerama.

Pored korišćenja prilagođenog JavaScript zamagljivanja, AgeoStealer takođe koristi višestruke tehnike izbjegavanja odbrambenih mehanizma dizajnirane da spriječe ručnu analizu i forenzičke istrage. Jedna značajna metoda uključuje izvršavanje PowerShell komande koja prekida određene procese povezane sa otklanjanjem grešaka, obrnutim inženjeringom i praćenjem bezbjednosti.

Ova komanda sistematski prekida procese povezane sa izolovanim (eng. sandbox) okruženjima, procesima za otklanjanjem grešaka, alatima za analizu mreže i virtuelnim mašinama, efikasno ometajući ručnu analizu i forenzičke istrage. Pored toga, skripta može provjeravati korisnička imena ili određene sistemske putanje kako bi otkrila da li se pokreće u okruženju za analizu. Time se sprečava izvršavanje u okruženjima koja obično koriste sigurnosni analitičari i istraživači.

 

Ciljano otkrivanje procesa

AgeoStealer sprovodi ciljano otkrivanje procesa kako bi identifikovao aktivne procese internet pregledača, fokusirajući se na one koji čuvaju osjetljive korisničke podatke kao što su sačuvani podaci za prijavu, tokeni sesije i istorija pregledanja. Praćenjem internet pregledača, uključujući Chrome, Firefox, Microsoft Edge i Opera, AgeoStealer tačno utvrđuje gdje se nalaze vrijedne informacije, prilagođavajući svoje taktike prikupljanja u skladu sa tim.

Ovaj nivo specifičnosti je obilježje sofisticiranih zlonamjernih aktera koji razumiju važnost ciljanja imovine visoke vrijednosti. U ovom slučaju, fokus AgeoStealer zlonamjernog softvera na podatke za prijavu, kolačiće, tokene sesija, podatke za automatsko popunjavanje i ekstenzije sačuvane u internet pregledaču omogućava mu da preuzme naloge i dobije neovlašteni pristup resursima žrtve.

Pored toga, AgeoStealer agresivno skenira uobičajene direktorijume kao što je radna površina i preuzima fascikle za dokumente, slike i druge vrijedne datoteke, potencijalno ciljajući vlasničke dokumente ili baze podataka.

 

Mehanizmi za krađu

Jedan od primarnih mehanizama za krađu u uključuje otpremanje ukradenih datoteka na GoFile.io servis za dijeljenje datoteka. Skripta identifikuje ciljne direktorijume, kompresuje datoteke pomoću, a zatim ih šalje na GoFile.io koristeći HTTP POST zahtev.

Ovo omogućava zlonamjernom akteru da daljinski preuzme ukradene podatke bez direktne interakcije. Adresa za preuzimanje se zatim čuva ili šalje na udaljeni server radi kasnijeg preuzimanja od strane zlonamjernog aktera. Ova metoda osigurava da se ukradene datoteke bezbjedno preuzimaju bez pokretanja trenutnih bezbjednosnih upozorenja.

 

UTICAJ

Ovaj zlonamjerni softver je dizajniran da izbjegne otkrivanje, ukrade osjetljive podatke za prijavu i izvuče podatke u realnom vremenu, što ga čini značajnom prijetnjom po sajber bezbjednost. Ciljajući internet pregledače, tokene za autentifikaciju i sistemske datoteke, AgeoStealer omogućava zlonamjernim akterima da izvršavaju krađu identiteta, korporativnu špijunažu i neovlaštene finansijske transakcije.

Uticaj AgeoStealer zlonamjernog softvera na pojedince se ne može ignorisati. Sa svojom sposobnošću da cilja internet pregledače, tokene za autentifikaciju i sistemske datoteke, ovaj zlonamjerni softver dovodi u opasnost lične podatke korisnika. Krađa identiteta je značajan problem sa AgeoStealer zlonamjernom softveru, jer omogućava zlonamjernim akterima da ukradu osjetljive informacije kao što su podaci za prijavu, brojevi kreditnih kartica i drugi lični podaci.

Pored tehničkih mogućnosti, uticaj AgeoStealer zlonamjernog softvera je dodatno pogoršan njegovom sposobnošću da iskoristi popularne komunikacione platforme među igračima video igara. To znači da čak i ako organizacija ima robusne bezbjednosne mjere, i dalje može biti ranjiva na napade putem ličnih uređaja ili internet aktivnosti svojih zaposlenih.

Uticaj AgeoStealer zlonamjernog softvera na organizacije takođe se proteže dalje od neposrednih finansijskih troškova povezanih sa reagovanjem na incident. Šteta po reputaciju i gubitak povjerenja kupaca su značajne brige kada zlonamjerni akteri ukradu osjetljive podatke koristeći ovaj zlonamjerni softver. Pored toga, vreme i resursi potrebni za istraživanje i reagovanje na AegoStealer napad mogu biti značajni.

Činjenica da se ukradene datoteke bezbjedno izvlače bez pokretanja trenutnih bezbjednosnih upozorenja čini još težim za korisnike da otkriju i reaguju na AgeoStealer napade. To je zato što sposobnost zlonamjernog softvera da preuzima podatke na daljinu bez direktne interakcije znači da zlonamjerni akteri mogu da ukradu osjetljive informacije, a da ne budu otkriveni u realnom vremenu.

Pored svega, korišćenje zamagljenog izvornog kôda u AgeoStealer zlonamjernom softveru otežava sigurnosnim istraživačima da analiziraju i razumiju njegovo ponašanje. To znači da čak i ako sigurnosni istraživač uspije da otkrije instancu ovog zlonamjernog softvera, možda neće moći u potpunosti da razume kako on funkcioniše ili koje podatke krade. Dizajn AgeoStealer zlonamjernog softvera takođe uključuje funkcije kao što je GoFile eksfiltracija, što olakšava zlonamjernim akterima krađu i prodaju osjetljivih informacija na mračnom internetu.

 

ZAKLJUČAK

Ispitivanje taktika i tehnika AgeoStealer zlonamjernog softvera otkrilo je sofisticirani pristup razvoju zlonamjernog softvera. Korišćenjem automatskog pokretanja pri pokretanju sistema ili prijavljivanju korisnika, zamaskiranih datoteka i izbjegavanja virtualnih i izolovanih okruženja, ovaj zlonamjerni softver je u stanju da opstane na kompromitovanim sistemima duže vreme, izbjegavajući otkrivanje od strane bezbjednosnog softvera.

Njegova sposobnost da prikuplja osjetljive podatke iz skladišta lozinki u internet pregledačima i arhivira ih za kasnije preuzimanje ističe važnost robusnih mjera sajber bezbjednosti u zaštiti korisničkih podatka za prijavu. Upotreba tehnika otkrivanja procesa omogućava AgeoStealer zlonamjernom softveru da cilja određene procese internet pregledača koji čuvaju vrijedne informacije – kao što su podaci za prijavu i istorija pregledanja.

Jedan od najupečatljivijih aspekata ponašanja AgeoStealer zlonamjernog softvera je njegova sposobnost da detektuje da li je raspoređen u kontrolisanom okruženju. Provjerom korisničkih imena i sistemskih putanja povezanih sa podešavanjima analize, zlonamjerni softver efikasno “zna” kada ga neko posmatra – i prilagođava se u skladu sa tim prekidanjem procesa vezanih za otklanjanje grešaka ili praćenje sigurnosnih istraživača.

AgeoStealer zlonamjernog softvera služi kao podsjetnik da se prijetnje u sajber bezbjednosti stalno razvijaju. Kako se pojavljuju nove varijante zlonamjernog softvera sa sve sofisticiranijim mogućnostima, neophodno je da stručnjaci za bezbjednost ostanu budni i proaktivni u svojim naporima da zaštite korisnike od ovih novih rizika – uključujući i one poput AgeoStealer zlonamjernog softvera koji su se dokazali sposobnim da se lako prilagode.

 

ZAŠTITA

Da bi se efikasno suprotstavili prijetnji AgeoStealer zlonamjernog softvera, neophodan je višeslojni pristup. Evo nekoliko ključnih preporuka:

1. Uvjeriti se da internet pregledači kao što su Chrome, Firefox, Microsoft Edge i Opera imaju instalirana najnovija ažuriranja. Pored toga, razmislite o korištenju proširenja internet pregledača kao što su blokatori oglasa ili menadžeri lozinki kako biste poboljšala zaštita od AgeoStealer ciljanih taktika otkrivanja procesa;
2. Održavanje operativnog sistema i drugih aplikacija ažuriranim je ključno u sprečavanju eksploatacije od strane zlonamjernog softvera poput AgeoStealer. Omogućiti automatska ažuriranja za sve instalirane programe, uključujući internet pregledače, dodatke i sistemske alate;
3. Implementacija robusnih politika za lozinke može značajno ometati efikasnost AgeoStealer taktika prikupljanja akreditiva. Koristiti jedinstvene, složene lozinke za svaki nalog i razmisliti o omogućavanju autentifikacije u dva koraka (eng. two-factor authentication – 2FA) kako bi se dodato još jedan dodatni sloj bezbjednosti od neovlaštenog pristupa;
4. Redovno pregledati evidenciju događaja računara kako bi se otkrilo bilo kakvo sumnjivo ponašanje koje bi moglo ukazivati na infekciju zlonamjernim softverom poput AgeoStealer zlonamjernog softvera. Ovaj proaktivni pristup može pomoći u ranom identifikovanju potencijalnih prijetnji, omogućavajući brzo djelovanje prije nego što dođe do značajne štete;
5. Instalirati najbolje ocijenjene bezbjednosne pakete od pouzdanih dobavljača i osigurati da se redovno ažuriraju najnovijim definicijama. Redovno skenirati sistem u potrazi za zlonamjernim softverom koristeći ove alate kako bi se otkrile sve infekcije koje su možda pomakle drugim bezbjednosnim mehanizmima;
6. Izbjegavati posjećivanje sumnjivih internet lokacija, posebno onih za koje se zna da skladište zlonamjerni sadržaj ili distribuiraju sam AgeoStealer zlonamjerni softver. Primjenjivati oprez prilikom klikova na linkove iz nepoznatih izvora i nikada ne preuzimati softver sa neprovjerenih internet lokacija;
7. Ograničiti prava pristupa za korisnike samo na resurse koji su im potrebni za efikasno obavljanje njihovih zadataka. Ovaj pristup može spriječiti zlonamjerni softver poput AgeoStealer zlonamjernog softvera da dobije povišene dozvole, što im otežava obavljanje zlonamjernih aktivnosti;
8. Redovno praviti rezervne kopije važnih podataka i bezbjedno čuvati ove rezervne kopije van mreže ili u uslugama skladištenja u oblaku koje nisu direktno povezane sa ugroženim sistemom. U slučaju infekcije zlonamjernim softverom kao što je AgeoStealer, posjedovanje skorašnjih rezervnih kopija može pomoći da se brzo izvrši oporavak sistema;
9. Obučiti zaposlene da prepoznaju phishing pokušaje, izbjegavaju sumnjivu elektronsku poštu i poruke i razumiju kako zlonamjerni akteri koriste psihološku manipulaciju da bi prevarili žrtve da instaliraju zlonamjerni softver ili otkriju osjetljive podatke;
10. Važno je biti informisan o novim prijetnjama i prilagoditi odbranu u skladu sa tim. Kontinuirano se edukovati o novim sojevima zlonamjernog softvera poput AgeoStealer zlonamjernog softvera i prilagoditi bezbjednosne mjere kako bi se efikasno suprostavilo ovim prijetnjama koje se razvijaju.