Jak program przypominający „Vidara” okazał się być Torg Grabberem – szybko rozwijającą się usługą typu „infostealer-as-a-service”, wykorzystującą przynęty ClickFix, narzędzia do przejmowania kontroli nad przeglądarkami oraz rozległą bazę przestępczych klientów
Spis treści
- Tajemnica błędnej klasyfikacji
- Ewolucja przestępczego biznesu
- Pułapka „ClickFix”: jak się dostają do środka
- Cyfrowy klucz uniwersalny
- Ogromny apetyt na Twoje dane
- Śledzenie ludzkich śladów
- Dlaczego analiza techniczna ma znaczenie
W świecie cyberprzestępczości najlepszym przebraniem jest często po prostu inny przestępca. Czasami nowe zagrożenie przybiera „morfę” znanej grupy, aby uniknąć dodatkowej kontroli. Dokładnie tak zaczyna się nasza historia.
W spokojny wtorek lutego do naszego laboratorium trafiła rutynowa próbka. Na pierwszy rzut oka wyglądała jak „Vidar”, czyli powszechny i dobrze znany rodzaj złośliwego oprogramowania. Jednak gdy nasi badacze zaczęli zaglądać pod maskę, kostium Vidara zaczął się rozpadać. To nie było dzieło znanej grupy. Było to coś zupełnie nowego, bardzo wyrafinowanego i rozwijającego się z niesamowitą prędkością. Nazwaliśmy to Torg Grabber.
Tajemnica błędnej klasyfikacji
Wykrywanie złośliwego oprogramowania często przypomina rozpoznawanie osoby po chodzie lub charakterze pisma. Vidar ma bardzo specyficzny „wygląd” w swoim kodzie. Ale ta nowa próbka była inna. Została zbudowana przy użyciu innych narzędzi, stosowała inne szyfrowanie i posługiwała się zupełnie innym językiem podczas komunikacji ze swoimi twórcami.
Nasz zespół zdał sobie sprawę, że Torg Grabber był w zasadzie cyfrowym kieszonkowcem w przebraniu. Udając zwykłe zagrożenie, miał nadzieję uniknąć wykrycia przez zautomatyzowane systemy bezpieczeństwa. Zanim zakończyliśmy nasze śledztwo, odkryliśmy 334 różne wersje tego złośliwego oprogramowania, wszystkie stworzone w ciągu zaledwie trzech miesięcy. Nie był to hobbysta: to była linia produkcyjna.
Ewolucja przestępczego biznesu
Jednym z najbardziej fascynujących elementów tej historii jest to, w jaki sposób przestępcy stojący za Torg Grabber „ulepszyli” swój biznes. Wyśledziliśmy trzy odrębne fazy ich rozwoju.
Na początku byli mali i ostrożni. Używali prostych botów na Telegramie, aby wysyłać skradzione dane z powrotem na prywatne kanały czatu. Był to cyfrowy odpowiednik początkującego złodzieja wykrzykującego sekrety w zatłoczonym pomieszczeniu. Działało, ale było hałaśliwe i łatwe do wyłączenia.
Zaledwie kilka tygodni później przeszli do fazy eksperymentalnej. Stworzyli niestandardowy, szybki protokół komunikacyjny wykorzystujący zaawansowane szyfrowanie klasy wojskowej. Był on wyrafinowany, ale trudno było im nim zarządzać na dużą skalę.
W końcu zdecydowali się na coś, co nazywamy „Production Rig”. Zbudowali profesjonalny system, który ukrywa swój ruch za legalnymi usługami internetowymi, takimi jak Cloudflare. Dzięki temu ich złośliwa aktywność wygląda jak normalne przeglądanie stron internetowych. Zanim osiągnęli ten etap, Torg Grabber stał się operacją typu „Malware as a Service”, w ramach której twórcy sprzedają swój „produkt” dziesiątkom innych przestępców, którzy chcą wejść do gry.
Pułapka „ClickFix”: jak się dostają do środka
Torg Grabber nie włamuje się po prostu do twojego domu: nakłania cię do otwarcia drzwi. Nasz zespół zaobserwował sprytną taktykę zwaną „ClickFix”.
Wyobraź sobie, że odwiedzasz stronę internetową i widzisz wyskakujące okienko z informacją, że Twoja przeglądarka wymaga aktualizacji zabezpieczeń. Wygląda to oficjalnie, a nawet zawiera pasek postępu, który odlicza siedem minut. Podczas gdy czekasz na zakończenie tej fałszywej „aktualizacji zabezpieczeń systemu Windows”, złośliwe oprogramowanie działa cicho w tle. Pobiera wiele warstw kodu, z których każda ma na celu ukrycie kolejnej, aż ostateczny program wykradający dane zostanie bezpiecznie schowany w pamięci Twojego komputera.
Widzieliśmy to złośliwe oprogramowanie ukryte w różnego rodzaju cyfrowych „smakołykach”, w tym fałszywych kodach do popularnych gier i złamanych wersjach drogiego oprogramowania. Przynęta się zmienia, ale cel jest zawsze ten sam: inżynieria społeczna.
Cyfrowy klucz uniwersalny
Być może najniebezpieczniejszą cechą Torg Grabber jest jego zdolność do omijania nowoczesnych zabezpieczeń przeglądarek. Główne przeglądarki, takie jak Google Chrome i Microsoft Edge, wprowadziły niedawno funkcję o nazwie „App-Bound Encryption”.
Pomyśl o tym jak o drzwiach do skarbca, które może otworzyć tylko sama przeglądarka.
Aby to obejść, twórcy Torg Grabber stworzyli niestandardowy „wytrych”. Jest to niewielki fragment kodu, o rozmiarze zaledwie 20 KB, który wkrada się do legalnego procesu przeglądarki. Po wejściu do środka nakłania przeglądarkę do użycia jej własnego „klucza głównego” w celu odblokowania zapisanych haseł i danych kart kredytowych. Zanim złośliwe oprogramowanie zakończy swoją pracę, skutecznie wkroczyło do Twojego cyfrowego życia, korzystając z Twoich własnych kluczy.
Ogromny apetyt na Twoje dane
W przeciwieństwie do starszego złośliwego oprogramowania, które mogło po prostu próbować zawiesić komputer, program wykradający dane ma jeden cel: zysk. Torg Grabber jest zaprogramowany tak, aby znaleźć niemal wszystko, co ma wartość na Twoim komputerze. Jego „lista zakupów” jest oszałamiająca:
Twoje życie finansowe: Szuka konkretnie 728 różnych rozszerzeń portfeli kryptowalutowych. Nie interesują go tylko znane marki: jest zaprogramowany tak, by rozpoznawać nawet najbardziej nieznane portfele cyfrowe.
Twoje narzędzia bezpieczeństwa: Atakuje 103 różne menedżery haseł i narzędzia do uwierzytelniania dwuskładnikowego. Wie, że jeśli uda mu się ukraść Twój „sejf”, będzie miał wszystko.
Twoja prywatność: Przeszukuje foldery „Pulpit” i „Dokumenty” w poszukiwaniu notatek, w których mogłeś zapisać poufne hasła lub frazy odzyskiwania.
Twoja tożsamość: Kradnie „sesyjne pliki cookie”. Dzięki nim przestępca może zalogować się na Twoje konta e-mailowe lub w mediach społecznościowych tak, jakby był Tobą, często całkowicie omijając konieczność podawania hasła.
Śledzenie ludzkich śladów
Nasze badania wykroczyły poza sam kod. Podążaliśmy za cyfrowymi śladami aż do osób stojących za tym wszystkim. Każda wersja Torg Grabber zawiera „tag”, który jest jak podpis przestępcy, który go kupił.
Wyodrębniliśmy ponad 40 różnych tagów operatorów i wykorzystaliśmy je do zdemaskowania kilku znanych postaci w rosyjskim świecie cyberprzestępczości. Znaleźliśmy osoby o pseudonimach takich jak „Tony Montana” i „ChaChaGuru”, które otwarcie chwaliły się swoimi sukcesami na prywatnych kanałach. Niektórzy nawet połączyli swoje konta z platformami handlowymi, gdzie sprzedają dane skradzione ofiarom.
Dlaczego analiza techniczna ma znaczenie
Nie opowiadamy tej historii tylko po to, by pokazać, jak złożone stały się te zagrożenia. Opowiadamy ją, ponieważ właśnie dzięki tego rodzaju analizie technicznej buduje się lepszą ochronę.
Demaskowanie Torg Grabber wymagało starannej inżynierii odwrotnej, pracy w zakresie analizy zagrożeń, korelacji próbek, śledzenia infrastruktury oraz wielokrotnego testowania hipotez na setkach artefaktów. Praca ta nadal opiera się na ludzkiej wiedzy eksperckiej, zwłaszcza gdy celem jest nie tylko opisanie działania złośliwego oprogramowania, ale zrozumienie, co się zmieniło, dlaczego się zmieniło i co powinni zrobić obrońcy.
Jednocześnie takie badania pokazują nam również, jak zmienia się analiza zagrożeń. W Gen Digital coraz częściej wykorzystujemy agentowe procesy oparte na sztucznej inteligencji, aby przyspieszyć niektóre etapy inżynierii odwrotnej, wykrywania zagrożeń, korelacji technicznej i organizacji dowodów, pozostawiając jednocześnie badaczom pełną odpowiedzialność za weryfikację, ocenę i ostateczne wnioski. Rezultatem nie jest zautomatyzowana prawda. Jest to szybszy i bardziej skalowalny sposób, w jaki eksperci mogą przeprowadzać złożone analizy bez obniżania standardów rygoru.
