Nowa kampania phishingowa – prywatne wiadomości w LinkedIn mogą prowadzić do instalacji RAT

Badacze bezpieczeństwa z ReliaQuest wykryli nową kampanię phishingową, w której atakujący wykorzystują platformę LinkedIn do dostarczenia złośliwego oprogramowania. Nie byłoby w tym nic nadzwyczajnego, gdyby nie fakt, że cyberprzestępcy wybrali za cel kadrę zarządzającą oraz administratorów IT, którzy z próbami oszustwa spotykają się na co dzień. 

TLDR:

• Badacze bezpieczeństwa z ReliaQuest opisali kampanię phishingową, w której cyberprzestępcy wykorzystują LinkedIn do rozsyłania wiadomości phishingowych.
• Na celowniku jest kadra zarządzająca oraz administratorzy IT.
• Atak rozpoczyna się od prywatnej wiadomości, spersonalizowanej pod konkretnego adresata, zawierającej link do pobrania złośliwego archiwum.
• Atakujący zastosowali technikę DLL Sideloading, do uruchomienia złośliwego kodu osadzonego wewnątrz DLL.

Co więcej, wykorzystany został również otwartoźródłowy skrypt Python – shellcode runner stosowany m.in. podczas testów penetracyjnych.

Co więcej atakujący nie wysyłali przypadkowych wiadomości z zainfekowaną fakturą umieszczoną w załączniku, tylko starannie dobierali treści dostosowane do profilu danej osoby.

Zapewne wielu z nas doświadczyło wiadomości phishingowych, czy to przesyłanych na skrzynkę mailową, czy też za pośrednictwem komunikatora. Schemat ataku jest w zasadzie taki sam, trzeba kliknąć w link, pobrać i uruchomić załącznik, podać swoje prywatne dane i oczekiwać na wykonanie akcji, która nigdy nie nastąpi. W końcowym etapie z dużym prawdopodobieństwem pojawi się nieznany błąd, niezależnie od tego czego sprawa dotyczy. Dopiero po fakcie zdajemy sobie sprawę, że był to phishing, a my nieświadomie ujawniliśmy prywatne dane.

Nasza świadomość zagrożeń jednak wzrasta z każdym kolejnym atakiem. Widząc taki scenariusz, większość po prostu przejdzie obojętnie i zignoruje wiadomość. Ci bardziej świadomi zgłoszą próbę ataku do CERT-u lub wewnętrznego działu bezpieczeństwa, jeżeli atak nastąpił na konto firmowe. Tak czy inaczej raczej nie damy pola popisu atakującym. 

Z tego powodu techniki stosowane przez cyberprzestępców są ciągle rozwijane, a metody ataku adaptowane do obecnych realiów. Kampania przedstawiona w raporcie analityków z ReliaQuest stanowi tego doskonały (i dość niepokojący) przykład.

Tym razem atakujący, podszywając się pod rekrutera lub specjalistę z branży IT, wysyłają prywatne wiadomości, biorąc na cel wysoko postawione osoby. W treści zachęcają do pobrania złośliwego, samorozpakowującego się archiwum WinRAR (SFX). 

Wewnątrz archiwum znajdują się następujące pliki:

• otwartoźródłowa aplikacja do czytania plików PDF (bez malware),
• złośliwy plik DLL (Dynamic Link Library), posiadający taką samą nazwę jak biblioteka wymagana przez czytnik PDF,
• interpreter Pythona w wersji przenośnej,
• plik RAR (niezwiązany bezpośrednio z atakiem).

Nazwy plików są starannie dobierane tak, aby odpowiadały stanowisku lub branży odbiorcy (Upcoming_Products.pdf, Project_Execution_Plan.exe).

Atakujący zastosowali technikę zwaną DLL Sideloading. W momencie uruchomienia czytnika PDF, system automatyczne ładuje złośliwą bibliotekę DLL. Dzieje się tak, ponieważ aplikacja szukając swoich zależności sprawdza w pierwszej kolejności załadowane już moduły oraz listę tzw. known DLLs (zaufane biblioteki systemowe). W dalszej kolejności skanuje folder, z którego została uruchomiona. Następnie, gdy tam nic nie znajdzie, przechodzi do lokalizacji zdefiniowanych przez programistę i ścieżek systemowych. 

Z punktu widzenia systemów antywirusowych, plik wykonywalny nie zawiera złośliwego kodu, posiada prawidłowy podpis, a co za tym idzie może zostać uznany za bezpieczny. Złośliwy kod jest zaszyty wewnątrz DLL. Przy zastosowaniu odpowiednich technik obfuskacji, systemy antywirusowe mogą uznać DLL jako niegroźny komponent. 

Po uruchomieniu aplikacji następuje wykonanie złośliwego kodu. Wewnątrz DLL ukryte były instrukcje realizujące następujące aktywności:

• persystencja – utworzenie wpisu w rejestrze Windows (klucz Run), skutkującego automatycznym uruchomieniem interpretera Python. Wpis ten zawiera polecenie wywołujące złośliwy skrypt. UWAGA: pierwszy lepszy darmowy antywirus wykryje tę zmianę, atakujący nie wykazali się tu kreatywnością.
• wykonanie shellcode runner, zakodowanego w Base64, korzystając z wypakowanego uprzednio interpretera Python. Z jego pomocą następuje nawiązanie połączenia z serwerem Command & Control (C2) i pobranie ładunku bez zapisywania na dysku (fileless) – oprogramowanie typu RAT (Remote Access Trojan).

Zabezpieczenia wdrażane w naszych skrzynkach mailowych pozwalają na skuteczne odbijanie wiadomości phishingowych. Z tego powodu atakujący szukają innych, prostszych sposobów na dotarcie do użytkowania. I znajdują potencjalną furtkę, w postaci portali społecznościowych.

Chcąc uchronić się przed tego typu scenariuszem należy przede wszystkim wdrażać systemy EDR, które odpowiednio wcześnie wykryją i zaalarmują o sytuacji, w której załącznik jest wypakowywany i wywoływany. Ponadto, należy zrezygnować z używania portali społecznościowych w czasie służbowym i na służbowym sprzęcie. Zaleca się również uczestnictwo w szkoleniach z zakresu cyber awareness (niezależnie od tego czy jesteśmy specjalistą z IT, czy też pracownikiem biurowym), które pozwolą rozpoznać zagrożenie nim będzie za późno.

Źródło: reliaquest.com  

~_secmike