Ostatnio głośno było o atakach na użytkowników programu Skype – najpierw ze strony nowego wariantu robaka “Dorkbot”, a potem za sprawą ataków ukierunkowanych na generowanie elektronicznej waluty Bitcoin. Ich analiza pozwoliła wyłonić pewien trend: ataki są coraz bardziej precyzyjnie planowane, a ich celem oprócz zysku staje się wiedza o ofiarach i ich systemach informatycznych. Zbliża to cyberprzestępców do marketingowców, czyniących wszystko, aby jak najlepiej poznać swoje “grupy docelowe”.
Co naprowadziło ekspertów Cyberoam Threat Research Labs na takie wnioski?
Przypadek 1: atak na użytkowników Skype
Użytkowników Skype na systemach Windows zaatakował nowy wariant robaka “Dorkbot”. Rozprzestrzenia się on poprzez linki wysyłane na czacie, wykorzystując ciekawość użytkowników. Atakujący tym samym tworzą sobie tylną furtkę (backdoor), którą mogą wykorzystać do kolejnych ataków i utworzenia botnetu, czyli grupy zainfekowanych maszyn. Robak łączy się z serwerem IRC, gdzie może otrzymywać dodatkowe polecenia. Monitorując komunikację sieciową może przechwytywać nazwy użytkowników i hasła oraz blokować dostęp do stron oferujących aktualizacje/łatki bezpieczeństwa. Ponieważ robak może przechwycić komunikację przez przeglądarkę internetową z wykorzystaniem różnych wbudowanych API, jest w stanie także wykradać poufne dane.
Program może także przeprowadzać ograniczone ataki DoS. Co więcej, dzięki niemu atakujący mogą zyskać dostęp do zdalnego serwera FTP i infekować wybrane pliki HTML, dodając do nich IFrame, istotną dla rozprzestrzeniania się robaka. Dorkbot atakował już wcześniej, a dostawcy rozwiązań ochronnych wydali odpowiednie łatki i aktualizacje. Kolejna wersja robaka dowodzi jednak, że udało się je ominąć. Można się spodziewać, że w przyszłości pojawią się jeszcze nowsze wersje tego złośliwego kodu, które będą zawierać nowe funkcje i sposoby ataku.
Przypadek 2: kradzież waluty bitcoin
Głośnym przypadkiem był także atak mający na celu generowanie waluty Bitcoin. Ofiarami ponownie zostali użytkownicy Skype, którzy kliknęli na fałszywy, skrócony link Google (goo.gl) do pobrania pliku graficznego, z komentarzem: “Co myślisz o tym pliku?”. Dyskusje dotyczące tego zagrożenia skoncentrowane były na jego zdolności do generowania waluty Bitcoin. Testy przeprowadzone przez Cyberoam Threat Research Labs wskazały jednak także na inne zagrożenia. Laboratorium zyskało dostęp do serwera hostującego szkodliwe oprogramowanie, który zawierał też inne narzędzia – w tym te umożliwiające ataki pozwalające na kradzież tożsamości użytkowników.
Laboratorium wykryło, że cyberprzestępcy wykorzystywali oprogramowanie geolokalizacyjne aby określić miejsce, organizację, prędkość połączenia i typ użytkownika. Dalsze śledztwo ujawniło, że po zainfekowaniu i zrestartowaniu komputera program przedstawiał komunikat z oczekiwaniem zapłaty za jego usunięcie. Istotne było to, że atakujący pozostawił sobie furtkę do zarządzania złośliwym oprogramowaniem oraz aktualizacji plików binarnych, co pozwalało na dłuższe pozostanie niezauważonym przez silniki antywirusowe.
Wnioski
Oba przypadki łączy widoczny trend rozwoju złośliwego oprogramowania, ukierunkowany na dostarczenie atakującemu jak największej wiedzy o użytkownikach (ofiarach) – nawet jeżeli nie z myślą o natychmiastowym zysku, to na pewno o przyszłych atakach.
Koreluje to z drugim trendem – w dobie powszechnego użycia tysięcy aplikacji sieciowych, stają się one bardzo popularnym celem coraz bardziej wyszukanych ataków. Cyberprzestępcy wiedzą więcej o naszych zwyczajach, coraz łatwiej identyfikują nasze zachowania i uważniej wybierają potencjalne ofiary.