Ένα πρόσφατο περιστατικό ασφαλείας έχει αναδείξει τις δυνατότητες που κρύβει η κακόβουλη χρήση ψηφιακά υπογεγραμμένου λογισμικού, το οποίο έχει μετατραπεί σε εργαλείο για την ανάπτυξη επιθέσεων που μπορούν να παρακάμψουν τις προστασίες από ιούς. Οι ερευνητές ανέφεραν ότι ένα συγκεκριμένο adware κατάφερε να επιτύχει υψηλά επίπεδα προνομίων, απενεργοποιώντας την προστασία από ιούς σε χιλιάδες συσκευές σε σημαντικούς τομείς όπως η εκπαίδευση, οι υπηρεσίες κοινής ωφέλειας, οι κυβερνητικές δομές και η υγειονομική περίθαλψη. Η έκταση της επίθεσης είναι ανησυχητική, με περισσότερους από 23.500 μολυσμένους υπολογιστές σε 124 χώρες, κάτι που υπογραμμίζει την ανάγκη για σφριγηλή ασφάλεια και ευαισθητοποίηση των χρηστών.
Περισσότερο από απλό adware
Η ομάδα ερευνητών ασφαλείας της Huntress ανακάλυψε την καμπάνια στις 22 Μαρτίου, εντοπίζοντας ψηφιακά υπογεγραμμένα εκτελέσιμα που καταχωρήθηκαν ως δυνητικά ανεπιθύμητα προγράμματα (PUP). Αυτά ενεργοποίησαν ειδοποιήσεις σε πολλαπλά περιβάλλοντα διαχειριζόμενης ασφάλειας, αποτελώντας κάτι περισσότερο από απλά ενοχλητικά adware. Οι επιθέσεις ήταν ιδιαίτερα κομβικές, καθώς έχασαν τις άμυνες τους σε δίκτυα που περιλαμβάνουν σημαντικά ιδρύματα και κυβερνητικές υπηρεσίες.
Σύμφωνα με την Huntress, το λογισμικό υπογράφηκε από την εταιρεία Dragon Boss Solutions LLC, μια οντότητα που ασχολείται με την “έρευνα δημιουργίας εσόδων αναζήτησης”. Προωθεί ποικιλία εργαλείων που χαρακτηρίζονται ως προγράμματα περιήγησης, όμως αναγνωρίζονται ως PUP από τις περισσότερες λύσεις ασφαλείας. Ανάμεσά τους τα Chromstera Browser, Chromnius, WorldWideWeb, Web Genius και Artificius Browser.
Πηγή: Huntress
Εκτός από την ενοχλητική συμπεριφορά που περιλαμβάνει διαφημίσεις και ανακατευθύνσεις, οι ερευνητές ανακάλυψαν ότι τα προγράμματα περιήγησης που προέρχονται από την Dragon Boss διαθέτουν πολύ πιο επιβλαβείς δυναμικές, όπως μηχανισμούς ενημέρωσης που αναπτύσσουν έναν «δολοφόνο» antivirus.
Απενεργοποίηση ασφάλειας
Η σοβαρότητα της επίθεσης έγινε φανερή μέσω της ανακάλυψης ότι το λογισμικό χρησιμοποίησε το εργαλείο Advanced Installer για την ενορχήστρωση ωφέλιμων φορτίων MSI και PowerShell. Η διαδικασία ενημέρωσης που ανέπτυσσαν οι επιτιθέμενοι είχε την ικανότητα να παρακάμπτει την αλληλεπίδραση χρήστη, εγκαθιστώντας λογισμικό με προνόμια SYSTEM και απενεργοποιώντας τις ρυθμίσεις αυτόματης ενημέρωσης.
Αξιοσημείωτο είναι ότι η διαδικασία ενημέρωσης περιλάμβανε ένα ωφέλιμο φορτίο MSI μεταμφιεσμένο σε εικόνα GIF, το οποίο έχει καταχωρηθεί ως κακόβουλο από πέντε μόνο προμηθευτές ασφάλειας στο VirusTotal.
Η ανάλυση του ωφέλιμου φορτίου MSI αποκάλυψε τη χρήση νόμιμων DLL που το Advanced Installer αξιοποιεί για να εκτελεί PowerShell scripts καθώς και άλλες ειδικές εργασίες. Αυτό συνέπιπτε με την ύπαρξη ενός πρόσθετου αρχείου που ονομάζεται “!_StringData“, που περιέχει κρίσιμες οδηγίες εγκατάστασης.
Πριν από την ανάπτυξη του κύριου ωφέλιμου φορτίου, το πρόγραμμα εγκατάστασης MSI προχωρούσε σε έλεγχο του περιβάλλοντος, αναζητώντας στοιχεία όπως η κατάσταση διαχειριστή, εικονικές μηχανές και εγκατεστημένα προϊόντα antivirus, συμπεριλαμβανομένων αναγνωρισμένων προμηθευτών όπως η Malwarebytes, Kaspersky και McAfee.
Η απενεργοποίηση των προϊόντων προστασίας επιτυγχάνονταν μέσω μιας δέσμης ενεργειών PowerShell ονόματι ClockRemoval.ps1, η οποία στόχευε τα προγράμματα εγκατάστασης για τους περιηγητές Opera, Chrome, Firefox και Edge, ώστε να αποφευχθούν πιθανές παρεμβολές.
.jpg)
Πηγή: Huntress
Η εκτέλεση του ClockRemoval.ps1 περιλάμβανε διαδικασίες που έλεγαν την κατάσταση των antivirus συνεχώς, εμποδίζοντας τους μηχανισμούς τους και διαγράφοντας ακόμα και τις καταχωρίσεις στο μητρώο, διασφαλίζοντας ότι δε θα μπορούσαν να επανεγκατασταθούν ποτέ. Ανάμεσα στις ενέργειες που αναλαμβάνονται περιλαμβάνονται η εκτέλεση αθόρυβων εγκαταστάσεων και η εκκαθάριση των σχετικών αρχείων.
Το γεγονός ότι οι διαχειριστές δεν κατοχύρωσαν τον κύριο τομέα ενημέρωσης (chromsterabrowser[.]com) προσφέρει την ευκαιρία σε τρίτους να προσπαθήσουν να αναλάβουν τον έλεγχο και να αναπτύξουν κακόβουλα ωφέλιμα φορτία σε αναγκαία δίκτυα, καθιστώντας την κατάσταση κρίσιμη.
Δεδομένων των στόχων της επίθεσης, παρατηρήθηκαν 324 μολυσμένα κεντρικά υπολογιστές σε δίκτυα με υψηλό ρίσκο, συμπεριλαμβανομένων:
- 221 ακαδημαϊκά ιδρύματα στη Βόρεια Αμερική, την Ευρώπη και την Ασία
- 41 δίκτυα στον τομέα της ενέργειας και των μεταφορών
- 35 δημοτικές κυβερνήσεις και κρατικές υπηρεσίες
- 24 εκπαιδευτικά ιδρύματα πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης
- δίκτυα Fortune 500
Η BleepingComputer προσπάθησε να έρθει σε επαφή με την Dragon Boss Solutions, αλλά δεν βρήκε λειτουργικό ιστότοπο επικοινωνίας, κάτι που ενισχύει την αδιαφάνεια γύρω από την εταιρεία.
Η Huntress προειδοποιεί ότι η χρήση του συγκεκριμένου κακόβουλου εργαλείου εστιάζεται όχι μόνο στην τρέχουσα λειτουργία του «δολοφόνου» antivirus αλλά υπάρχει και η δυνατότητα εισαγωγής επικίνδυνων ωφέλιμων φορτίων σε μολυσμένα συστήματα, κάτι που ενδέχεται να κλιμακώσει τις επιθέσεις.
Προτείνεται στους διαχειριστές συστημάτων να παρακολουθούν τις συνδρομές WMI που σχετίζονται με “MbRemoval” ή “MbSetup”, καθώς και τις προγραμματισμένες εργασίες που αναφέρονται σαν “WMILoad” ή “ClockRemoval”. Επίσης, καλούνται να ελέγξουν το μητρώο τους για καταχωρήσεις σχετικές με τους προμηθευτές AV.
