Kiedy cyberprzestępcy oglądają zbyt wiele anime

Zespół FortiGuard natrafił na całkiem zabawną historię, w której cyberprzestępcy nazwali swoje narzędzia imionami postaci i przedmiotów pochodzących z popularnych japońskich serii anime. Narzędzia te miały takie nazwy jak Sakabota, Hisoka, Gon i Killua, wywodzące się z serii „Rurouni Kenshin” oraz „Hunter x Hunter”.

Reklama

Ale to tyle w kwestii zabawy, bo sprawa jest poważna. Specjaliści z FortiGuard Labs firmy Fortinet opublikowali nowy tygodniowy przegląd informacji o cyberzagrożeniach. Analitycy wskazali na dynamiczny wzrost ataków na urządzenia mobilne oraz aktywność cyberprzestępców pochodzących z Rosji.

Uwaga na bezpieczeństwo smartfonów

Rośnie liczba ataków na urządzenia mobilne. Spośród wszystkich wykrytych zagrożeń cybernetycznych 14% dotyczy urządzeń z systemem Android. Może to sprowadzać konsekwencje nie tylko na użytkowników smartfonów czy tabletów.

Jest to również problem dla przedsiębiorstw, ponieważ pracownicy często korzystają z ważnych aplikacji firmowych na osobistych urządzeniach, co sprawia, że wzrasta ryzyko naruszenia bezpieczeństwa – mówi Jolanta Malak, dyrektor Fortinet w Polsce.

Analitycy Fortine  w ostatnim czasie wykryli kilka istotnych kampanii cyberprzestępców związanych z zagrożeniem dla urządzeń mobilnych, w tym z wykorzystaniem trojana o nazwie xHelper. Jest on w stanie nie tylko ponownie zainstalować się na urządzeniach z systemem Android po jego wcześniejszym usunięciu, ale może to zrobić nawet po całkowitym przywróceniu telefonu lub tabletu do ustawień fabrycznych. Po zainfekowaniu urządzenie łączy się z serwerem zarządzającym działaniem szkodliwego kodu (command & control, C&C), z którego pobierane są dodatkowe złośliwe narzędzia, takie jak droppery (służą do pobierania szkodliwych aplikacji, w tym wirusów) czy rootkity, za pomocą których haker może uzyskać np. uprawnienia administratora i dzięki nim włamać się na urządzenie.

Rosyjscy cyberprzestępcy w akcji

Specjaliści Fortinet natrafili ostatnio również na szereg witryn internetowych reklamujących platformy wymiany kryptowalut. Po dalszej analizie okazało się, że były to strony phishingowe, z domenami zarejestrowanymi na rosyjskiej platformie hostingowej. Osoby inwestujące w kryptowaluty powinny więc za każdym razem upewniać się, że korzystają z legalnych platform wymiany danych.
Innym narzędziem, za którym prawdopodobnie stoją cyberprzestępcy z Rosji, jest infostealer pod nazwą Racoon (szop), a więc oprogramowanie służące do kradzieży informacji. Jest on dostępny na czarnym rynku w modelu usługowym jako MaaS (Malware-as-a-Service, czyli złośliwe oprogramowanie jako usługa). Racoon po raz pierwszy został wykryty w kwietniu tego roku, był dostępny wyłącznie w języku rosyjskim i sprzedawany na tamtejszych forach hakerskich. Teraz autorzy tego malware’u rozszerzyli swoją kampanię o fora anglojęzyczne.
Gdy atak się powiedzie, złośliwe oprogramowanie może wykonać jedno lub wszystkie z następujących czynności: robienie zrzutów ekranu, kradzież informacji o systemie i logów, danych przeglądarki, poświadczeń logowania oraz kradzież z portfela kryptowalut. Po pomyślnym zebraniu danych i wysłaniu ich do centrum command & control, Racoon próbuje usunąć ślady swojej obecności na zainfekowanym urządzeniu.

Kiedy cyberprzestępcy oglądają zbyt wiele anime

Zespół FortiGuard natrafił również na całkiem zabawną historię, w której cyberprzestępcy nazwali swoje narzędzia imionami postaci i przedmiotów pochodzących z popularnych japońskich serii anime. Narzędzia te miały takie nazwy jak Sakabota, Hisoka, Gon i Killua, wywodzące się z serii „Rurouni Kenshin” oraz „Hunter x Hunter”.

Przykładowo: Sakabota jest backdoorem, a więc umyślnie pozostawioną luką w zabezpieczeniach. Łączy się on z serwerami command & control poprzez protokół HTTP i był najbardziej aktywny w kampanii sięgającej drugiej połowy 2018 roku. Stwierdzono, że Sakabota umieszcza na zainfekowanych urządzeniach złośliwe oprogramowanie o nazwie Diezen, które komunikuje się z C&C za pomocą niestandardowego protokołu.

Przedstawione narzędzia dają cyberprzestępcy różne możliwości, w tym między innymi kradzież informacji, zbieranie haseł, robienie zrzutów ekranu zainfekowanego urządzenia lub też keylogging, czyli rejestrowanie klawiszy naciskanych przez użytkownika.

Sezon na wirusy?!

Fot., źródło mat. prasowe

Reklama

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *