Chtěli najít práci, našli „trojana“, který útočníkům otevírá plnou kontrolu nad zařízením a daty
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Hledání nové práce se může změnit v noční můru. Kyberzločinci zneužívají profesní sítě k šíření sofistikovaného malwaru, který tiše otevře dveře do celého počítače oběti.
Hledáte práci, jdete na LinkedIn, odpovíte na zprávu a stáhnete si „zadání k práci“ nebo „podklady k pohovoru“. A tím to končí. Od tohoto momentu už nemáte nad zařízením plnou kontrolu. Redakce Mobify zaznamenala nově odhalenou phishingovou kampaň, zaměřenou na jedince, kteří se jen snaží najít si práci.
Podvodník vyvolá v oběti důvěru, a pak pošle trojana
Útočníci se nově zaměřili na lidi, kteří se pouze snaží najít zaměstnání. Nejprve osloví vybrané osoby prostřednictvím soukromých zpráv na LinkedIn. Vydávají se za náboráře, personalisty nebo manažery. S konverzací nijak nespěchají, chtějí si získat důvěru. Až později přijde žádost o stažení souboru, typicky s tím, že jde o zadání k práci, informace o pozici či potřebný dokument, informuje Cofense.
Stažený soubor ale samozřejmě není jenom obyčejné PDF. Jedná se o samorozbalovací archiv vytvořený pomocí WinRARu, který po spuštění nenápadně rozbalí hned několik komponent najednou. Právě v tom spočívá první trik, jelikož člověk ztratí v tu danou chvíli přehled, co je co, varuje theHackerNews.
Legitimní nástroje v balíčku slouží ke krytí útoku
Součástí balíčku je i skutečná a legitimní aplikace, například open-source čtečka PDF. Vedle ní se ale do systému dostane i škodlivá dynamická knihovna DLL, přenosná verze Pythonu a další archiv, jenž slouží jako návnada. Jakmile uživatel spustí čtečku PDF, aplikace automaticky načte i podvrženou knihovnu DLL.
Tento postup, známý též jako boční načítání DLL, případně načítání DLL z jiných zdrojů, dnes patří mezi oblíbené techniky útočníků, protože zneužívá důvěryhodné procesy systému, upřesňuje Kaspersky. Z pohledu uživatele se tedy nic podezřelého neděje. PDF se otevře, soubor vypadá normálně. Ve skutečnosti se ale v pozadí spouští další fáze útoku.
Instalace probíhá nenápadně, zajistí trvalý přístup
Infikovaná knihovna zajistí instalaci Pythonu, což je programovací jazyk, vysvětluje Wikipedia, a vytvoří v registru Windows klíč, který zajistí jeho automatické spuštění při každém přihlášení. Python následně spustí škodlivý kód uložený v paměti zařízení, ne na disku, jak by si člověk mohl myslet. Tím útočníci výrazně komplikují jeho odhalení.
Výsledkem je plnohodnotný trojan pro vzdálený přístup (RAT). Útočník získává trvalou kontrolu nad systémem, může stahovat další nástroje, krást data, sledovat aktivitu uživatele, nebo se klidně pohybovat dál po firemní síti.
Sociální sítě jsou ideálním cílem, ochrana je malá
Průšvih podle nás je, že soukromé zprávy na sociálních sítích prakticky nepodléhají bezpečnostní kontrole. Firmy běžně chrání e-mailové schránky, ale komunikaci na LinkedIn nikdo nehlídá. To z něj dělá snadný terč pro útoky, které jsou navíc obtížně spočítatelné. Nikdo přesně neví, kolik obětí už naletělo.
Konkrétně tato kampaň je nová, nicméně její princip ne. V minulosti byly tímto způsobem šířeny útoky spojené s falešnými pracovními pohovory nebo třeba technickými testy, často napojené i na státem podporované hackerské skupiny.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky theHackerNews, Oficiální stránky Cofense, Oficiální stránky Kaspersky