Οι επιθέσεις στον κυβερνοχώρο είναι ένα από τα σημαντικότερα ζητήματα στις μέρες. Οι απειλές είναι πολλές και οι επιτιθέμενοι έχουν στη διάθεσή τους πολλά εργαλεία για να στοχεύσουν ανυποψίαστους χρήστες. Μια σημαντική απειλή είναι και τα λεγόμενα banking malware, τα οποία στις περισσότερες περιπτώσεις είναι banking trojans που κλέβουν credentials χρηστών.
Εδώ θα δούμε μερικά από τα πιο επικίνδυνα και εξελιγμένα banking malware που έχουν στοχεύσει οργανισμούς και χρήστες.
Πρώτα, όμως, θα εξηγήσουμε τις βασικές έννοιες trojan και banking malware.
Τι είναι ένα banking malware και πώς λειτουργεί;
Ένα banking malware/Trojan είναι ένα κακόβουλο πρόγραμμα που προσπαθεί να αποκτήσει πρόσβαση σε εμπιστευτικές πληροφορίες που αποθηκεύονται ή επεξεργάζονται μέσω διαδικτυακών τραπεζικών συστημάτων.
Γενικά, το trojan είναι ένας πολύ συχνός όρος όταν μιλάμε για banking malware. Τα banking trojans εμφανίζονται σαν νόμιμες εφαρμογές, αλλά στην πραγματικότητα προσπαθούν να κλέψουν πληροφορίες και να αποφύγουν την ανίχνευση. Γι’ αυτό το λόγο έχουν ονομαστεί και trojan malware. Η ονομασία αυτή έχει δοθεί από το κλασικό τέχνασμα του Δούρειου Ίππου στον Τρωικό πόλεμο.
Δείτε επίσης: Κακόβουλο Telegram installer εγκαθιστά το Purple Fox malware σε μολυσμένα μηχανήματα
Δυστυχώς για τον μέσο άνθρωπο, τα banking trojans είναι εξαιρετικά εξελιγμένα και συχνά αλλάζουν στρατηγικές. Μπορούν να επιτεθούν σε διαδικτυακά τραπεζικά ιδρύματα και ακόμη να κλέψουν χρήματα από προσωπικούς ή επιχειρηματικούς τραπεζικούς λογαριασμούς.
Φυσικά, οι επιθέσεις με banking malware δεν είναι κάτι καινούριο. Οι περισσότερες τράπεζες προσφέρουν τη δυνατότητα για διαδικτυακές τραπεζικές συναλλαγές εδώ και πολλά χρόνια και οι εγκληματίες δεν άργησαν να βρουν τρόπους να εκμεταλλευτούν αυτή τη νέα τάση.
Οι τράπεζες συνειδητοποίησαν γρήγορα ότι αποτελούσαν ελκυστικούς στόχους για τους επιτιθέμενους και απάντησαν ενισχύοντας την ασφάλεια των συστημάτων τους. Με τη σειρά τους, οι εγκληματίες σύντομα συνειδητοποίησαν ότι ήταν δύσκολο να επιτεθούν στα ίδια τα ιδρύματα και έτσι στράφηκαν στους πελάτες.
Η κλοπή credentials πελατών ήταν μια πιο εύκολη μέθοδος επίθεσης και κάπως έτσι δημιουργήθηκαν τα πρώτα banking trojans. Με τα χρόνια, οι εγκληματίες εξέλιξαν τις τεχνικές τους και δημιούργησαν πιο ισχυρά και ύπουλα malware.
Ας δούμε μερικά από τα πιο επικίνδυνα banking trojan malware που έχουν υπάρξει:
Emotet
Ένα από τα πιο δημοφιλή κακόβουλα λογισμικά. Εντοπίστηκε για πρώτη φορά από ερευνητές ασφαλείας το 2014 ως ένα απλό banking trojan, αλλά σύντομα έγινε ένα από τα πιο επικίνδυνα malware όλων των εποχών. Μεταγενέστερες εκδόσεις ήταν πιο εξελιγμένες επιτρέποντας την εγκατάσταση άλλων banking trojans στα μολυσμένα μηχανήματα.
Η τεχνική της χρήσης ενός κακόβουλου λογισμικού για την εγκατάσταση ενός άλλου δεν είναι καινούρια. Από τον Σεπτέμβριο του 2018, το Emotet χρησιμοποίησε την Windows ευπάθεια EternalBlue για να διαδοθεί σε έναν μεγάλο αριθμό μηχανημάτων.
Επίσης, βασική μέθοδος διανομής ήταν τα κακόβουλα συνημμένα μέσα σε phishing emails, ενώ χρησιμοποιούνταν συχνά ως πρώτο στάδιο για μια ransomware επίθεση.
Τον Ιανουάριο του 2021, η υποδομή του Emotet καταστράφηκε χάρη σε μια συντονισμένη αστυνομική επιχείρηση. Ωστόσο, πριν από περίπου δύο μήνες, ερευνητές ανακάλυψαν νέες επιθέσεις από το malware.
Zbot/Zeus
Το Zeus, γνωστό και ως Zbot, έχει υπάρξει ένα από τα πιο διαδεδομένα banking Trojan. Πρωτοεμφανίστηκε το 2007 και στόχευε χρήστες Windows με σκοπό την απόκτηση εμπιστευτικών πληροφοριών από τους μολυσμένους υπολογιστές, κυρίως μέσω man-in-the-browser επιθέσεων και τεχνικών keylogging.
Επίσης, βασική μέθοδος διανομής ήταν τα drive–by downloads και το phishing. Μετά την εγκατάσταση στο μηχάνημα, το trojan προσπαθούσε να κατεβάσει configuration files και updates από το Διαδίκτυο.
Τα αρχεία Zeus δημιουργούνται και προσαρμόζονται χρησιμοποιώντας ένα Trojan-building toolkit, που είναι διαθέσιμο στο διαδίκτυο για εγκληματίες του κυβερνοχώρου.
Το Zeus δημιουργήθηκε για να κλέψει ιδιωτικά δεδομένα από τα μολυσμένα συστήματα, όπως πληροφορίες συστήματος, κωδικούς πρόσβασης, τραπεζικά credentials ή άλλα οικονομικά στοιχεία.
Σύμφωνα με ερευνητές, ο δημιουργός του trojan φέρεται να “αποσύρθηκε” και να πούλησε τον source code στον προγραμματιστή του SpyEye, ενός άλλου banking trojan. Με την πάροδο των ετών, όμως, έχουν δημιουργηθεί διάφορες παραλλαγές.
Δείτε επίσης: Η επίθεση ransomware FinalSite κλείνει χιλιάδες σχολικούς ιστότοπους
Ορισμένες είναι σε θέση να αποφύγουν τον εντοπισμό και άλλες σχεδιάστηκαν για να δημιουργήσουν εισόδημα μέσω ενός μοντέλου pay-per-click. Αν και η αρχική έκδοση του Zeus αντιμετωπίζεται σε μεγάλο βαθμό από λογισμικό προστασίας από ιούς, εξακολουθεί να είναι επικίνδυνο μέσω των πολυάριθμων παραλλαγών του.
SpyEye
Το SpyEye είναι ένα κακόβουλο λογισμικό κλοπής δεδομένων (παρόμοιο με το Zeus) που δημιουργήθηκε για την κλοπή χρημάτων από online τραπεζικούς λογαριασμούς. Εντοπίστηκε πρώτη φορά το 2009 και στόχευε χρήστες των Windows που χρησιμοποιούσαν δημοφιλείς browsers.
Αυτό το κακόβουλο λογισμικό είναι σε θέση να κλέψει τραπεζικά credentials, αριθμούς κοινωνικής ασφάλισης και οικονομικές πληροφορίες που θα μπορούσαν να χρησιμοποιηθούν για να αδειάσουν τους τραπεζικούς λογαριασμούς των θυμάτων.
Το SpyEye Trojan περιέχει ένα keylogger που προσπαθεί να κλέψει τα credentials σύνδεσης για έναν online τραπεζικό λογαριασμό. Πέρα από τις δραστηριότητές του, το SpyEye προσπαθούσε αρχικά να αφαιρέσει από τα μηχανήματα-στόχους το ανταγωνιστικό trojan Zeus.
Το 2010, ένας από τους δημιουργούς του Zeus φέρεται να μοιράστηκε τον source code του trojan με τους προγραμματιστές του SpyEye και ένωσαν τα δύο toolkits. Το 2016 ένας Ρώσος και ένας Αλγερινός έλαβαν ποινή φυλάκισης για την ανάπτυξη και διανομή του SpyEye.
Shylock
Οι δημιουργοί του Shylock εκτιμούσαν σαφώς τον Σαίξπηρ καθώς αυτό το trojan πήρε το όνομά του από το Merchant of Venice. Εμφανίστηκε τον Ιούλιο του 2011.
Χρησιμοποιώντας man-in-the-browser επιθέσεις, το trojan έκλεβε τα τραπεζικά credentials και παραπλανούσε τους χρήστες ώστε να μεταφέρουν χρήματα σε λογαριασμούς που ελέγχονταν από τους επιτιθέμενους.
Συνέχισε να επεκτείνεται κατά τη διάρκεια του 2012 και διατήρησε την παρουσία του μέχρι το 2014. Σε αντίθεση με άλλα banking trojans, το Shylock στόχευε συγκεκριμένες περιοχές, κυρίως το Ηνωμένο Βασίλειο αν και ορισμένα τραπεζικά ιδρύματα των ΗΠΑ είχαν επίσης εμφανιστεί στη λίστα των στόχων.
Τον Ιούλιο του 2014, μια συμμορία από την Ανατολική Ευρώπη που συνδέθηκε με το Shylock, αναγκάστηκε να κλείσει τα domains και τους servers.
TrickBot
Το κακόβουλο λογισμικό TrickBot στοχεύει στις οικονομικές πληροφορίες του χρήστη και συνήθως διαδίδεται μέσω κακόβουλων emails. Αναφέρθηκε πρώτη φορά το 2016.
Οι πρώτοι στόχοι του ήταν τράπεζες από την Αυστραλία, το Ηνωμένο Βασίλειο και τον Καναδά, αλλά και εταιρείες πιστωτικών καρτών της Γερμανίας και των ΗΠΑ.
Ενώ δημιουργήθηκε ως banking Trojan, το TrickBot εξελίχθηκε σε modular malware πολλαπλών σταδίων που παρέχει στους χειριστές του πολλά εργαλεία για τη διεξαγωγή ενός τεράστιου αριθμού παράνομων δραστηριοτήτων.
Είναι γνωστό ότι χρησιμοποιεί επιθέσεις man-in-the-browser για να λάβει πληροφορίες όπως credentials και μπορεί να χρησιμοποιήσει μακροεντολές σε έγγραφα Excel για λήψη και ανάπτυξη κακόβουλου λογισμικού στις συσκευές των χρηστών.
Δείτε επίσης: Έκθεση: Αύξηση επιθέσεων από τη ransomware ομάδα PYSA, τεχνική διπλού εκβιασμού και νέες τακτικές
Το TrickBot συνδέεται με μερικές από τις πιο γνωστές κυβερνοεπιθέσεις, αφού πολλές φορές αποτελεί αρχικό στάδιο για μια ransomware επίθεση.
Panda
Μια παραλλαγή του Zeus, που ανακαλύφθηκε για πρώτη φορά στη Βραζιλία το 2016.
Το Panda χρησιμοποιεί πολλές από τις παραδοσιακές τεχνικές του Zeus, συμπεριλαμβανομένων των επιθέσεων man-in-the-browser (MITB) και του keylogging, αλλά ξεχωρίζει λόγω των προηγμένων stealth δυνατοτήτων του.
Αυτό έχει κάνει την ανάλυση του κακόβουλου λογισμικού πιο δύσκολη.
Μια επίθεση Panda μπορεί να ξεκινήσει με spam μηνύματα με κακόβουλα συνημμένα.
Το συγκεκριμένο banking malware έχει στοχεύσει χρηματοπιστωτικά ιδρύματα, cryptocurrency exchange υπηρεσίες, καθώς και social media sites.
DanaBot
Πρωτοεμφανίστηκε στα μέσα του 2018 στοχεύοντας Αυστραλούς χρήστες, αλλά στη συνέχεια άρχισε να στοχεύει και ευρωπαϊκές τράπεζες και παρόχους email, καθώς και αμερικανικές εταιρείες. Το banking malware DanaBot banking έχει πολλές παραλλαγές και λειτουργεί σαν malware-as-a-service.
Η μόλυνση πολλαπλών σταδίων ξεκινά με ένα dropper που προκαλεί μια σταδιακή εξέλιξη των hacks.
Αυτά τα hacks περιλαμβάνουν κλοπή network requests, συλλογή credentials, απομάκρυνση ευαίσθητων πληροφοριών, επίθεση ransomware, κατασκοπεία οθόνης και εγκατάσταση cryptominer.
Bizarro
Το Bizarro είναι ένα από τα πιο πρόσφατα banking trojans, που σαρώνει κυρίως την Ευρώπη και μεγάλα μέρη της Νότιας Αμερικής, προσπαθώντας να κλέψει οικονομικές πληροφορίες καταναλωτών και mobile crypto wallets.
Πολλά από τα θύματα αυτού του trojan είναι από την Ιταλία, τη Γαλλία, την Ισπανία και την Πορτογαλία, αλλά το Bizzaro πιστεύεται ότι προέρχεται από τη Βραζιλία.
Το κακόβουλο λογισμικό εξαπλώνεται είτε μέσω κακόβουλων συνδέσμων που περιέχονται σε spam emails, είτε μέσω μιας trojanized εφαρμογής.
Μετά την εγκατάσταση κακόβουλου λογισμικού στη στοχευμένη συσκευή, το πολύπλοκο backdoor επιτρέπει στους εγκληματίες να χρησιμοποιήσουν keyloggers για να συλλέξουν προσωπικά στοιχεία σύνδεσης, αλλά και να δώσουν εντολή στο crypto wallet του θύματος.
Πώς να προστατευθείτε από τα banking malware;
Τι μπορούν να κάνουν οι χρήστες;
- Ενημέρωση όλων των λογισμικών και των συστημάτων.
- Λήψη εφαρμογών και αρχείων μόνο από αξιόπιστες πήγες.
- Χρήση ελέγχου ταυτότητας δύο παραγόντων, όπου είναι δυνατόν, και εφαρμογή όλων των λειτουργιών ασφαλείας που προσφέρει η online τραπεζική υπηρεσία.
- Χρήση ενός password manager.
- Εκπαίδευση για την ανίχνευση phishing emails.
Τι μπορούν να κάνουν οι επιχειρήσεις;
- Εκπαίδευση υπαλλήλων για αναγνώριση απειλών στον κυβερνοχώρο.
- Χρήση ενός ισχυρού και αξιόπιστου firewall.
- Εγκατάσταση μιας privileged access management λύσης ώστε κανένας εισβολέας να μην μπορεί να έχει πρόσβαση στην IT υποδομή.
- Χρήση traffic filtering λύσης για τον εντοπισμό κρυφών απειλών του δικτύου.