Οι ερευνητές ανακάλυψαν μια νέα έκδοση του κακόβουλου λογισμικού Zaraza, το οποίο αποσπά log-in credentials από τους web browsers, όπως ο Google Chrome, ο Microsoft Edge, ο Opera και ο Brave. Οι κακόβουλοι φορείς χρησιμοποιούν τους διακομιστές Telegram ως πλατφόρμα εντολών και ελέγχου για τη μεταφορά τραπεζικών συνδέσμων και κρυπτονομισμάτων που λαμβάνονται από μολυσμένους υπολογιστές.
Η εταιρεία κυβερνοασφάλειας Uptycs δημοσίευσε πρόσφατα μια έκθεση σχετικά με την αυξανόμενη χρήση του Telegram για τη διανομή και την εμπορία του κακόβουλου λογισμικού Zaraza. Πιστεύεται ότι όσοι βρίσκονται πίσω από αυτή την εκστρατεία συνδέονται με τη Ρωσία, καθώς το “Zaraza” μεταφράζεται από τα ρωσικά σε “μόλυνση”. Αυτό υπογραμμίζει ακόμη περισσότερο πόσο κρίσιμο είναι τόσο για τους οργανισμούς όσο και για τους ιδιώτες να επαγρυπνούν απέναντι στις απειλές στον κυβερνοχώρο.
Το bot Zaraza στοχεύει ενεργά σε σχεδόν 40 προγράμματα περιήγησης στο διαδίκτυο, αλλά ο Safari της Apple και ο Firefox του Mozilla Foundation δεν βρίσκονται ανάμεσα στους στόχους. Δυστυχώς, η εξέταση του θέματος από την Uptycs δεν περιλάμβανε καμία πληροφορία σχετικά με τα αρχικά βήματα των αντιπάλων ή τις τεχνικές μόλυνσης των υπολογιστών-στόχων.
«Οι εισβολείς… χρησιμοποιούν τα κλεμμένα δεδομένα για κακόβουλους σκοπούς, όπως κλοπή ταυτότητας, οικονομική απάτη και μη εξουσιοδοτημένη πρόσβαση σε προσωπικούς και επαγγελματικούς λογαριασμούς», δήλωσε η Uptycs.
Είναι αξιοσημείωτο ότι το κακόβουλο λογισμικό Zaraza μπορεί να αποκρυπτογραφήσει την κρυπτογράφηση που χρησιμοποιείται από τα στοχευμένα προγράμματα περιήγησης για τη διασφάλιση των αποθηκευμένων κωδικών πρόσβασης. Σύμφωνα με τους ερευνητές, “το πρόγραμμα περιήγησης ιστού στο σύστημα αποθηκεύει τα credentials σε δύο κρυπτογραφημένες μορφές ως προεπιλεγμένο μέτρο ασφαλείας- ωστόσο, το bot Zaraza είναι σε θέση να αποκρυπτογραφήσει και τις δύο αυτές μορφές”. Όπως είναι αναμενόμενο, αυτό σημαίνει ότι συνιστάται ανεπιφύλακτα στους χρήστες να δίνουν προσοχή όταν χρησιμοποιούν τις συσκευές τους και να επιλέγουν ισχυρότερα μέτρα ασφαλείας, εάν είναι απαραίτητο.
Το bot Zaraza φαίνεται να είναι βασικός παίκτης σε ένα οργανωμένο εγκληματικό σχέδιο, με τους εμπλεκόμενους να μπορούν να αγοράσουν πρόσβαση από τον κύριο πάροχο κακόβουλου λογισμικού. Επιπλέον, οι απειλητικοί φορείς χρησιμοποιούν όλο και περισσότερο το Telegram Messenger ως πλατφόρμα C2 λόγω της ικανότητάς του να διανέμει κακόβουλο κώδικα και να μεταφέρει δεδομένα αποφεύγοντας την ανίχνευση. Η Uptycs έχει παρατηρήσει αυτή την τάση μεταξύ των αντιπάλων που χρησιμοποιούν συνεχώς το Telegram για κακόβουλες δραστηριότητες.
Το Zaraza διανέμεται ως ένα δυαδικό αρχείο 64-bit που έχει μεταγλωττιστεί χρησιμοποιώντας τη γλώσσα προγραμματισμού C# και περιέχει ρωσικούς κυριλλικούς χαρακτήρες στον κώδικά του. Μετά τη σάρωση της μολυσμένης συσκευής, το κακόβουλο λογισμικό δημιουργεί ένα αρχείο “output.txt” σε έναν νέο υποφάκελο στον κατάλογο Temp. «Μετά την επιτυχή εξαγωγή των κρυπτογραφημένων κωδικών πρόσβασης από το πρόγραμμα περιήγησης, ο εισβολέας στη συνέχεια αποθήκευσε αυτά τα δεδομένα στο αρχείο output.txt», είπαν οι ερευνητές.
Εκτός από το αρχείο output.txt, ένα screenshot του συστήματος υπολογιστή του στόχου αποθηκεύεται και στη συνέχεια μεταφορτώνεται στο Telegram κανάλι.
Η Uptyc παρείχε ένα αντίγραφο ενός κανόνα YARA για τους επαγγελματίες ασφαλείας που μπορούν να το χρησιμοποιήσουν σε οποιονδήποτε προμηθευτή EDR/XDR με δυνατότητες ανίχνευσης κανόνων YARA και να αφαιρέσουν χειροκίνητα τα κακόβουλα αρχεία. Ένα indicator of compromise περιλαμβάνει έναν κατακερματισμό αρχείου MD5 (41D5FDA21CF991734793DF190FF078BA).
Πηγή πληροφοριών: scmagazine.com
