ESET odhalil nový nástroj pro cílené útoky

31. červenec 2015 09:20 0 komentářů

Experti společnosti ESET analyzovali špionážní malware Potato Express, který útočil na zajímavé cíle především na Ukrajině. Útoky tohoto malware jsou vedené dosud nepoužívanými metodami.

Malware, který experti ESET nazvali Potato Express, je klasický špionážní malware: jeho cílem je sbírat citlivá data, především přihlašovací údaje, a odesílat je na řídící servery útočníků. Poprvé byl zachycen již v roce 2011. Útoky tohoto malware směřovaly (a stále směřují) proti řadě cílů na Ukrajině, v Rusku a v dalších zemích bývalého Sovětského Svazu. Cíle jsou velmi různorodé a většinou mezi nimi neexistuje žádná viditelná souvislost. Jedna z velkých kampaní směřovala proti organizátorům i účastníkům gigantického pyramidového podvodu MMM. Jde o jeden z největších pyramidových podvodů v dějinách, v němž miliony obětí (odhady se pohybují mezi 5 a 40 miliony) přišly o zhruba čtvrt bilionu korun. Dalšími cíli byly ukrajinské vládní instituce a armáda, a také ukrajinský státní tisková kancelář.

Potato Express spoléhá na inovativní způsoby šíření. Není to extrémně sofistikovaný malware a nevyužívá žádné bezpečnostní chyby v aplikacích. Některé jeho kampaně však stojí za pozornost, protože se dá předpokládat, že se jimi nechají inspirovat i další útočníci. Příkladem je gruzínská mailová kampaň, lákající na anglicky psané a důvěryhodně vypadající svatební oznámení nebo ruská kampaň s podvrženou stránkou imitující populární doručovací službu.

A především souvislost s šifrovacím software TrueCrypt. Jak experti ESET zjistili při analýze Potato Expres, do ruské verze TrueCryptu útočníci vložili trojského koně, který jednak dokáže instalovat malware skupiny Potato, a také funguje jako plně vybavený špionážní modul. Ten dokáže působit v utajení: směřuje pouze na vybrané cíle a navíc se aktivuje pouze na počítačích dlouhodobých uživatelů aplikace TrueCrypt. Pouze na těchto počítačích prohledává podle zadaného algoritmu data a odesílá je na řídící servery.

Skrývat soubory malware za názvy odvozené od některého známého software je starý trik. Ale v daném případě experti ESET zjistili, že stránky TrueCryptRussia.ru slouží nejen k distribuci infikovaného šifrovacího software TrueCrypt, ale také k hostování malware ze skupiny „Potato“ - a dokonce fungují i jako řídící server pro „trojanizovanou“ verzi TrueCrypt.

Důležité je, že zdaleka ne veškerý TrueCrypt software ze zmíněné ruské stránky je infikovaný. „Trojanizovanou“ verzi nabídne server ke stažení pouze počítačům, které splňují specifická (zatím neodhalená) kritéria. Také toto opatření ukazuje, že celá operace je řízená profesionály, kteří jdou po omezeném okruhu cílů.

Na malware skupiny Potato je pozoruhodné, že útoky s jeho využitím mají charakter takzvaných APT útoků (z angl. Advanced Persistent Threats), a to aniž by samotný malware byl odpovídajícím způsobem sofistikovaný. Potato Express tak ukazuje, že technologické nedostatky lze u malware do velké míry nahradit důmyslným sociálním inženýrstvím.


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

Rozhodnutí ÚS o odložení EET může vést k žalobám na stát

ČTK , 16. prosinec 2017 09:00

Tisíce a možná desítky tisíc podnikatelů a zástupců různých profesí se na třetí a čtvrtou vlnu EET u...

Více 1 komentářů

E-shopy vyjmutí plateb kartou z EET vítají, přišlo prý ale pozdě

ČTK , 16. prosinec 2017 08:00

Podle ministerstva financí ze zrušení povinnosti evidovat platby kartou pro poplatníky nevyplývá nut...

Více 0 komentářů

Nové Embarcadero RAD Studio obsahuje i licenci pro aplikační server

Pavel Houser , 15. prosinec 2017 10:00

Vývojové prostředí nabízí i nové prvky knihovny vizuálních komponent a nové možnosti grafického uživ...

Více 0 komentářů

Starší zprávičky

Botnet Necurs se vrátil a šíří nový ransomware

Pavel Houser , 15. prosinec 2017 09:00

V listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab. ...

Více 0 komentářů

Jižní Korea zvažuje, že zdaní obchody s bitcoinem

ČTK , 15. prosinec 2017 08:00

Vláda se obává dopadů, které s sebou může přinést náhlý cenový propad kryptoměn....

Více 0 komentářů

O2 v dalších dvou letech vykoupí až 1,25 % vlastních akcií

ČTK , 14. prosinec 2017 10:00

Cílem nového programu je optimalizace kapitálové struktury, uvedla firma....

Více 0 komentářů

10 spotřebitelských trendů pro rok 2018

Pavel Houser , 14. prosinec 2017 09:00

Sluchátka budeme nosit 24 hodin denně, i během spánku. Umělá inteligence bude vytvářet reklamy. Koli...

Více 0 komentářů