Σύμφωνα με νέα στοιχεία, backdoor και trojan malware διανέμονται μέσω μιας νέας phishing τεχνικής, που προσπαθεί να προσελκύσει τα θύματα να δεχτούν μια “ενημέρωση” πιστοποιητικών ασφαλείας website.
Οι Αρχές Πιστοποίησης (CAs) διανέμουν πιστοποιητικά ασφαλείας SSL / TLS για βελτιωμένη ασφάλεια στο διαδίκτυο, παρέχοντας κρυπτογράφηση για κανάλια επικοινωνίας μεταξύ ενός browser και ενός server.
Κατά καιρούς έχουν παρουσιαστεί διάφορες περιπτώσεις κατάχρησης πιστοποιητικών. Τώρα όμως, χρησιμοποιείται μια νέα phishing τεχνική για τη διανομή malware.
Την Πέμπτη, οι ερευνητές της Kaspersky ανέφεραν ότι η νέα τεχνική έχει εντοπιστεί σε πολλά sites. Οι πρώτες μολύνσεις των θυμάτων με τα malware εντοπίστηκαν στις 16 Ιανουαρίου 2020.
Οι επισκέπτες σε ένα μολυσμένο domain, βλέπουν την παρακάτω εικόνα:
Η προειδοποίηση αναφέρει ότι το πιστοποιητικό ασφαλείας του site δεν είναι ενημερωμένο, αλλά παρόλο που αυτό είναι θέμα του ιδιοκτήτη του domain, τα θύματα καλούνται να εγκαταστήσουν μια “ενημέρωση πιστοποιητικού ασφαλείας“ για να προχωρήσουν.
Το μήνυμα περιέχεται σε ένα iframe και το περιεχόμενο φορτώνεται μέσω ενός jquery.js script από έναν τρίτο command-and-control (C2) server, ενώ η γραμμή URL εξακολουθεί να διατηρεί τη διεύθυνση του νόμιμου domain, ώστε να μην καταλαβαίνουν οι χρήστες ότι κάτι πάει στραβά.
“Το jquery.js script καλύπτει ένα iframe που έχει ακριβώς το ίδιο μέγεθος με τη σελίδα”, λένε οι ερευνητές. “Ως αποτέλεσμα, αντί για την πρωτότυπη σελίδα, ο χρήστης βλέπει ένα φαινομενικά αυθεντικό banner που ζητά την άμεση εγκατάσταση μιας ενημερωμένης έκδοσης πιστοποιητικού”.
Αν το θύμα πατήσει το κουμπί για να κάνει την ενημέρωση, ξεκινάει η λήψη ενός αρχείου, του Certificate_Update_v02.2020.exe.
Όταν εγκατασταθεί, το εκτελέσιμο αρχείο θα παραδώσει στο θύμα ένα από τα δύο malware: Mokes ή Buerak.
Το Mokes είναι ένα macOS / Windows backdoor malware, που θεωρείται “εξελιγμένο”, καθώς μπορεί να εκτελέσει κακόβουλο κώδικα, να βγάλει screenshots, να κλέψει πληροφορίες του υπολογιστή, όπως αρχεία, ήχους και βίντεο, ενώ χρησιμοποιεί κρυπτογράφηση AES-256 για να καλύψει τις δραστηριότητές του.
Από την άλλη μεριά, το Buerak είναι ένα Windows-based Trojan malware που είναι σε θέση να εκτελέσει κώδικα, να παραβιάσει διαδικασίες, να κλέψει περιεχόμενο και άλλα.
