Predator the Thief και spear phishing
06/08/2022Ακούσαμε για πρώτη φορά την ύπαρξη του κακόβουλου λογισμικού Predator the Thief τον Ιούλιο του 2018. Όπως και τα άλλα σχετικά, χρησιμοποιείται όχι μόνο για την υποκλοπή τηλεφωνικών συνδιαλέξεων, αλλά και για την υποκλοπή ονομάτων χρήστη, κωδικών πρόσβασης, δεδομένων προγράμματος περιήγησης και των περιεχομένων ηλεκτρονικών πορτοφολιών κρυπτονομισμάτων. Επίσης, για τη λήψη φωτογραφιών, χρησιμοποιώντας την κάμερα web του μολυσμένου θύματος.
Το κακόβουλο λογισμικό Predator πωλείται συνήθως σε “μαύρα” φόρουμ hacking και παρουσιάστηκε επίσης ως μέρος μιας δέσμης έξι διαφορετικών φόρουμ κακόβουλου λογισμικού. Αυτό το κακόβουλο λογισμικό εγκαθίσταται στο κινητό τηλέφωνο-στόχο μέσω κακόβουλου spam (malspam) μηνύματος με συνημμένα που χρησιμοποιούν πλαστά έγγραφα παραγγελίας ως δέλεαρ.
Το Predator διαθέτει τρόπους για να αποφεύγεται ο εντοπισμός του. Χρησιμοποιεί shellcode για να αποφεύγεται ο εντοπισμός σφαλμάτων και να μην μπορούν να λειτουργήσουν sandbox. Το sandbox είναι μια τεχνική, στην οποία δημιουργείται ένα απομονωμένο περιβάλλον δοκιμής. Σε μια “αμμοδόχο” (sandbox) μπορείτε να εκτελέσετε ή να “πυροδοτήσετε” ένα ύποπτο αρχείο ή URL που είναι συνημμένο σε ένα email και στη συνέχεια παρατηρείτε τί συμβαίνει, άρα μπορείτε να εντοπίσετε απόπειρα υποκλοπής.
Το Predator χρησιμοποιεί το νόμιμο λογισμικό AutoIt για την εκτέλεση του κακόβουλου λογισμικού. Το AutoIt είναι μια γλώσσα δέσμης ενεργειών που προορίζεται για την αυτοματοποίηση βασικών εργασιών στη γραφική διεπαφή χρήστη (GUI) των Windows. Οι πληροφορίες που συλλέγονται συσκευάζονται και αποστέλλονται στον διακομιστή εντολών και ελέγχου (C&C) των εισβολέων κακόβουλου λογισμικού. Το πακέτο δεδομένων αποστέλλεται μέσω αιτημάτων Post με το πρωτόκολλο μεταφοράς υπερκειμένου (HTTP), μαζί με δεδομένα δακτυλικών αποτυπωμάτων και ευαίσθητες διαμορφώσεις δικτύου.
Αυτό το κακόβουλο λογισμικό συλλέγει τα ακόλουθα δεδομένα και τα στέλνει στους διακομιστές του:
- Διαπιστευτήρια χρήστη και άλλα ευαίσθητα δεδομένα, όπως λογισμικό και προδιαγραφές υπολογιστή.
- Διαπιστευτήρια χρήστη πιστωτικής κάρτας.
- Πληροφορίες από διάφορους τοπικούς φακέλους και φακέλους cloud.
- Αρχεία κρυπτονομισμάτων από αρχεία Ethereum, Multibit, Electrum, Armory, Bytecoin και Bitcoin.
- Cookies από προγράμματα περιήγησης ιστού όπως Chrome, Firefox.
- Διαπιστευτήρια Πρωτοκόλλου Μεταφοράς Αρχείων (FTP) από λογισμικό FTP όπως FileZilla, WinFTP.
- Λογαριασμοί παιχνιδιών από το Steam και Discord.
- Στιγμιότυπα οθόνης επιφάνειας εργασίας και φωτογραφίες χρήστη από κάμερα web.
Το spear phishing
Προφανώς, το Predator δεν είναι το μόνο λογισμικό υποκλοπής. Σύμφωνα με έκθεση της Zimperium zLabs, που δημοσιεύτηκε (Νοέμβριος 2021), το λογισμικό κινητών PhoneSpy έχει εντοπιστεί να στοχεύει ανυποψίαστους Νοτιοκορεάτες. Ωστόσο, δεν είναι σαφές από την έκθεση ποιος βρίσκεται πίσω από το PhoneSpy και εάν πωλείται εμπορικά. Εκτός από την μέθοδο “no click”, άλλα λιγότερο εξελιγμένα κακόβουλα λογισμικά μπορούν να χρησιμοποιούν τεχνικές όπως το “spear-phising”, δηλαδή επιθετική μόλυνση.
Λαμβάνεται ένα email, προφανώς από αξιόπιστη πηγή, αλλά αντ’ αυτού οδηγεί τον παραλήπτη σε έναν ψεύτικο ιστότοπο γεμάτο κακόβουλο λογισμικό. Αυτά τα email συχνά χρησιμοποιούν έξυπνες τακτικές για να τραβήξουν την προσοχή των θυμάτων. Για παράδειγμα, το FBI έχει προειδοποιήσει για απάτες spear phishing όπου τα μηνύματα ηλεκτρονικού ταχυδρομείου φαινόταν να προέρχονται από το αμερικανικό κέντρο για εξαφανισμένα παιδιά.
Σύμφωνα με το Zimperium, οι επιτιθέμενοι χρησιμοποιούν το PhoneSpy για υποκλοπές, αλλά οι ερευνητές δεν μπόρεσαν να ανακαλύψουν γιατί χιλιάδες στη Νότια Κορέα γίνονται στόχος ή ποια σχέση έχουν μεταξύ τους. Το κατασκοπευτικό λογισμικό είναι δυνητικά πιο επικίνδυνο από τον Pegasus. Κι αυτό γιατί το PhoneSpy «κρύβεται σε κοινή θέα, μεταμφιεζόμενο σε μια κανονική εφαρμογή με σκοπούς που κυμαίνονται από την εκμάθηση γιόγκα μέχρι την παρακολούθηση τηλεόρασης και βίντεο ή την περιήγηση σε σάιτ φωτογραφιών». Το PhoneSpy μεταμφιέζεται ως νόμιμη εφαρμογή και δίνει στους εισβολείς πλήρη πρόσβαση στα δεδομένα που είναι αποθηκευμένα σε ένα κινητό και παρέχει πλήρη έλεγχο στη στοχευμένη συσκευή, σύμφωνα με τελευταία έκθεση του Zimperium.