4 Minutės
Nauja kenkėjiškų programų grėsmė: kaip kibernetiniai nusikaltėliai išnaudoja suklastotus VPN GitHub platformoje
IT saugumo specialistai neseniai aptiko sudėtingą kenkėjiškų programų kampaniją, kuri naudoja netikras VPN programas, platinamas per GitHub, taip sukeldama nerimą informacinių technologijų saugumo srityje visame pasaulyje. Pasak kibernetinio saugumo bendrovės "Cyfirma", ši nauja grėsmė pasitelkia žalingą programinę įrangą, maskuojamą kaip „Nemokamas VPN kompiuteriui“ („Free VPN for PC“), kad apgautų vartotojus ir priverstų juos atsisiųsti kenkėją – ypač žinomą „Lumma Stealer“.
Kenkėjiškų programų evoliucija: kasdienėmis programomis apsimetanti grėsmė
Kibernetiniai nusikaltėliai vis dažniau taikosi tiek į technologijų specialistus, tiek į eilinius vartotojus, siūlydami iš pirmo žvilgsnio nekaltus įrankius, pavyzdžiui, nemokamus VPN ar žaidimų priedus. Paskutinis tokių atakų variantas buvo platinamas kaip „Minecraft Skin Changer“ – populiarus žaidėjų įrankis, parodantis, kaip gerai grėsmės kūrėjai prisitaiko, siekdami pasiekti skirtingas auditorijas. Tokiu būdu vartotojai viliojami atsisiųsti, rodos, teisėtą programą, o iš tikrųjų tai yra daugiaetapis kenkėjiškas nešėjas.
Sudėtinga atakos grandinė: maskavimas ir išliekamumas
Įdiegus netikrą VPN, įdiegtas nešėjas pradeda vykdyti sudėtingą atakos seką: maskuoja savo kodą, dinamiškai įkelia kenkėjiškas DLL bibliotekas, įterpia kodą tiesiai į operatyviąją atmintį ir išnaudoja patikimus Windows komponentus, kaip MSBuild.exe bei aspnet_regiis.exe. Tokios technikos leidžia kenkėjui beveik visiškai susilieti su legaliais sistemos procesais ir žymiai apsunkina aptikimą bei pašalinimą, nes naudojamos pažangios išsisukimo priemonės.
GitHub vaidina esminį vaidmenį platinimo grandinėje. Nusikaltėliai įkėlė slaptažodžiu apsaugotus ZIP archyvus su padirbtais diegimo nurodymais į github[.]com/SAMAIOEC saugyklą, tokiu būdu sukurdami teisėtumo įspūdį ir apgaudami vartotojus. Šiuose archyvuose kenkėjiškos programos naudoja prancūzišką maskavimą ir base64 kodavimą, dar labiau apsunkindamos jų aptikimą įprastoms apsaugos priemonėms.
Kaip veikia kenkėjiška programa: techninė analizė
Paleidus programą, Launch.exe failas dekoduoja base64 eilutę ir įrašo paslėptą DLL (msvcp110.dll) į vartotojo AppData aplanką. Šis failas lieka nematomas vartotojui ir yra dinamiškai įkeliamas paleidimo metu, aktyvuojant galutinį kenkėjos etapą per GetGameData() funkciją. Atvirkštinė šių pavyzdžių inžinerija yra ypač sudėtinga dėl naudojamų antidebuging'o metodų bei painių valdymo srauto maskavimo. Visa ataka remiasi MITRE ATT&CK taktikomis, įskaitant DLL įkėlimą, vykdymą atmintyje ir išmanų aplinkos vengimą (sandbox evasion), taip siekiant apeiti šiuolaikines kibernetinio saugumo sistemas.
Saugumo užtikrinimas: geriausia praktika vartotojams ir IT profesionalams
Siekdami apsisaugoti nuo tokių grėsmių, ekspertai griežtai rekomenduoja nesiųsti ir neįdiegti neoficialios programinės įrangos iš nepatikrintų šaltinių, net jei ji talpinama gerai žinomose platformose kaip GitHub. Ypač rizikinga naudotis nemokamais VPN arba žaidimų modifikacijomis. Failai, platinami kaip slaptažodžiu apsaugoti ZIP archyvai arba reikalaujantys neaiškių diegimo žingsnių, turėtų kelti didžiausią įtarimą.
IT administratoriai raginami išjungti vykdomų failų leidimus dažnai tikslinėse aplankuose, pavyzdžiui, AppData ar Temp, bei kruopščiai stebėti sistemos aktyvumą, ypač naujų DLL kūrimą ar įtartiną veiklą susijusią su patikimais Windows procesais. Pastebėjus nestandartinį MSBuild.exe ar kitų komponentų elgesį, būtina nedelsiant reaguoti.
Technologiniu lygmeniu itin svarbu naudoti naujos kartos antivirusines programas su elgesio grėsmių aptikimu. IT komandoms rekomenduojama diegti išplėstines galutinių taškų apsaugos (endpoint protection) ir anti-DDoS priemones, kurios padeda kovoti su kenkėjais, naudojančiais į atmintį injekuojamą kodą, paslėptus procesus ar API išnaudojimą.
Rinkos aktualumas ir atsargaus atsisiuntimo svarba
Augant VPN paslaugų ir žaidimų modifikacijų rinkai, didėja ir suklastotų programų keliama rizika. Kadangi dauguma vartotojų GitHub laiko patikima platforma, nusikaltėliai vis dažniau išnaudoja šį pasitikėjimą savo kenksmingų programų platinimui. Tuo tarpu patikimi VPN paslaugų tiekėjai ir programinės įrangos kūrėjai programų neplatina neoficialiais būdais ar per slaptažodžiu saugomus archyvus.
Tiek galutiniams vartotojams, tiek organizacijoms būtinas ypatingas budrumas. Visuomet programinę įrangą atsisiųskite tik iš oficialių tiekėjų svetainių arba patikimų šaltinių ir palaikykite aukščiausią galutinių taškų saugos kultūrą, kad apsisaugotumėte nuo naujų kibernetinių grėsmių. Tokie prevenciniai veiksmai ypač reikalingi, nes kibernetiniai nusikaltėliai nuolat prisitaiko prie tobulėjančių apsaugos technologijų.
Šaltinis: techradar
Komentarai