Choć czasy wszechobecnych wirusów komputerowych, to raczej domena wczesnych lat 2000., hakerzy z grupy UNC6692 nadal próbują nimi zarażać niczego nieświadomych użytkowników internetu. Najnowsza metoda „na pracownika Teams” pozwala im zakotwiczyć złośliwe oprogramowanie w zaatakowanej sieci.
Atak zaczyna się dość klasycznie, bo przez skrzynkę mailową, którą hakerzy zasypują masą wiadomości, które mają sprawić, że odbiorca pomyśli, iż to pilna sprawa, która wymaga podjęcia działania. Następnie przestępca kontaktuje się poprzez firmową platformę Microsoft Teams i oferuje „pomoc”, podając się za pracownika działu IT, który pomoże rozwiązać problem z mnóstwem maili trafiających na skrzynkę. Ofiara może uwierzyć w „pomoc”, bo atakujący wygląda, jak członek firmowego helpdesku, choć Teams powinien ostrzegać o tym, że pochodzi spoza organizacji.
Kolejnym krokiem jest wysłanie ofierze linku do „narzędzia naprawczego”, które w rzeczywistości, jest plikiem „exe” umożliwiającym automatyczne wykonanie złośliwego kodu i zainfekowanie komputera. Nieświadomy użytkownik wpisuje tam swój login i hasło (tu już powinna zapalić się lampka ostrzegawcza) kilkukrotnie, bo za każdym razem pojawia się fikcyjny błąd. Dzięki temu wirus przechwytuje naciśnięcia klawiszy ofiary i zna jej login oraz hasło, a haker jest pewny, iż jest ono poprawne, bo użytkownik wpisał je kilkukrotnie.
Potem jest już „z górki” – haker udaje, że naprawia skrzynkę mailową, pojawia się pasek postępu, a w tle instaluje się ekosystem wirusów znany, jako SNOW. SNOW składa się z trzech elementów: SNOWBELT, SNOWGLAZE oraz SNOWBASIN. System ten ma możliwość komunikowania się z hakerami przy użyciu popularnych, legalnych usług chmurowych (jak Amazon AWS czy Heroku). Dzięki temu ruch sieciowy wygląda całkowicie normalnie i omija tradycyjne filtry antywirusowe.
Z poziomu zainfekowanego peceta, napastnicy mogą skanować firmową sieć w poszukiwaniu i zbieraniu cennych danych. Jeśli uda się im dostać do głównej bazy danych, wtedy mogą szykować sobie grunt np. pod duży atak ransomware z wymuszeniem okupu w zamian za oddanie dostępu do plików.
Generalnie rzecz biorąc po raz kolejny słabym ogniwem systemu informatycznego w firmie staje się człowiek. Pamiętajcie, że za każdym razem, gdy dostaniecie podejrzanego maila, albo waszą skrzynkę zasypie masa wiadomości, a ktoś zaoferuje wam pomoc – najpierw skonsultujcie się osobiście lub telefonicznie ze znanymi wam osobami, z działu IT. Wtedy niemal na pewno dowiecie się, że ktoś próbuje ukraść wasze dane.
0 komentarzy