Tipy pro Windows 10: zobrazení nápovědy k příkazům v PowerShellu a aktivace skrytého administrátorského účtu
Microsoft poskytuje pro PowerShell rozsáhlou nápovědu. Je potřeba ji ale nainstalovat. Pro…
Výzkumný tým Check Point Research odhalil cílené kyberútoky na úředníky vládních finančních institucí a zástupce několika ambasád.
Útoky využívají nebezpečnou e-mailovou přílohou, která je označená jako přísně tajný americký dokument, a následně je zneužita populární aplikace TeamViewer pro převzetí plné kontroly nad infikovaným strojem.
Check Point analyzoval celý infekční řetězec, útočnou infrastrukturu a podobnost s předchozími kampaněmi a útoky. Také byl objeven online avatar rusky mluvícího hackera, který má podle všeho na starost nástroje vyvinuté a používané v tomto útoku.
Infekce začíná XLSM dokumentem se škodlivými makry, který je odeslán potenciálním obětem e-mailem s předmětem „Military Financing Program“. Dobře zpracovaný dokument obsahuje logo amerického ministerstva zahraničí a je označen jako „přísně tajný“. Ačkoli si útočníci dali hodně záležet na tom, aby dokument vypadal přesvědčivě, zdá se, že přehlédli některé detaily, které zůstaly v dokumentu, a mohly by přispět k odhalení informací o zdroji útoku.
Jakmile jsou makra povolena, extrahují se dva soubory. Jeden legitimní a druhý škodlivý, který umožňuje například vytvořit a odeslat kopii obrazovky, ukrást informace o počítači nebo stáhnout škodlivou verzi TeamVieweru, spustit ho a odeslat přihlašovací údaje útočníkům. Nebezpečná verze TeamVieweru přidává další "funkce" do legitimní verze TeamVieweru a umožňuje skrýt rozhraní programu, aby uživatel nevěděl, že je spuštěn, uložit stávající přihlašovací údaje do textového souboru nebo přenášet a spouštět další .exe a .dll soubory.
Na základě získaných dat bylo možné sestavit částečný seznam zemí, kde byli úředníci terčem kyberútoků:
• Nepál
• Guyana
• Keňa
• Itálie
• Libérie
• Bermudy
• Libanon
Pokud se díváme pouze na tento částečný seznam zemí, kde útoky probíhaly, nevyplývají z toho žádné konkrétní geopolitické motivy. Ale seznam sledovaných obětí vypovídá o zvláštním zájmu útočníků o veřejný finanční sektor.
Na jednu stranu se jedná o dobře promyšlený útok, který pečlivě vybírá oběti a používá specifický obsah, aby zaujal cílovou skupinu. Na druhou stranu některé aspekty tohoto útoku nebyly tak pečlivé a odhalují podrobnosti, které jsou v podobných kampaních obvykle dobře maskované, jako jsou osobní informace, online historie pachatele nebo dosah škodlivých aktivit.
Škodlivé DLL umožňuje útočníkům odeslat další obsah do infikovaného počítače a vzdáleně ho spustit. Další škodlivý obsah se ale zatím nepodařilo identifikovat, aby bylo možné určit skutečné záměry. Nicméně historie aktivit vývojářů na nelegálních fórech a charakteristiky obětí napovídají, že za útoky může být finanční motivace.
Microsoft poskytuje pro PowerShell rozsáhlou nápovědu. Je potřeba ji ale nainstalovat. Pro…
Hlavní panel je centrálním bodem pro ovládání Windows. Možnosti jeho nastavení jsou ale stále…
Změny v konfiguracích Windows 10 je často nutné provádět s právy správce. Existuje rychlá…
Praktický nástroj FastStone Image Viewer je jedním z nejlepších volně dostupných prohlížečů…
V noci na úterý 29. září hlásilo poruchy mnoho cloudových služeb od společností Microsoft,…
Bezpečnostní experti od Kaspersky varují před novým malwarem. Útoky škodlivého kódu Cerberus…
Analytici bezpečnostní společnosti ESET popsali nový malware, který se zaměřuje na těžbu a…
Uživatelé zanedbávají zabezpečení routerů, pomyslných vstupních dveří do svých domácích sítí.…
