ForceCopy Stealer: Az alattomos fenyegetés, amely a webböngésző adatait célozza meg
Table of Contents
Új eszköz egy hírhedt hackercsoport arzenáljában
A kiberbiztonsági szakértők a forceCopy Stealer néven ismert kifinomult kiberfenyegetést fedezték fel, amely egy célzott támadásokban alkalmazott információgyűjtő eszköz. Ez a tolvaj kapcsolatban áll a Kimsuky-val , egy jól dokumentált hackercsoporttal, amelyről úgy tartják, hogy kapcsolatban áll Észak-Korea hírszerző szolgálataival. A legújabb jelentések azt mutatják, hogy Kimsuky adathalász technikákat használt a forceCopy Stealer terjesztésére, a webböngészőkben tárolt érzékeny felhasználói adatok megszerzésére összpontosítva.
Hogyan telepítik a támadók a forceCopy Stealer-t
A forceCopy Stealer kézbesítési módja a megtévesztő e-mailek körül forog, amelyeket úgy alakítottak ki, hogy legitimnek tűnjenek. Ezek az e-mailek általában tartalmaznak egy Microsoft Office- vagy PDF-dokumentumnak álcázott mellékletet, amely valójában egy Windows parancsikon (LNK) fájl. Amint a címzett megnyitja a fájlt, az rosszindulatú szkripteket aktivál a PowerShell vagy a Microsoft mshta.exe segítségével – mindkettő legitim rendszereszköz, amelyet gyakran jogosulatlan célokra használnak ki.
Ezeknek a szkripteknek a végrehajtását követően további hasznos terhelések kerülnek lekérésre külső forrásból. A támadók ezután a forceCopy Stealer mellett más eszközöket is bevetnek, köztük a PEBBLEDASH nevű jól ismert trójai programot és a nyílt forráskódú Remote Desktop segédprogram RDP Wrapper nevű módosított változatát. Ezek az összetevők együttműködve biztosítják a hosszú távú hozzáférést a veszélyeztetett rendszerekhez.
A forceCopy Stealer alapvető funkciója
Lényegében a forceCopy Stealer célja az adatok kinyerése a webböngészőkkel társított meghatározott helyekről. Úgy tűnik, hogy az elsődleges cél a böngésző konfigurációs fájlok, amelyek tárolt bejelentkezési adatokat tartalmazhatnak. Azáltal, hogy ezekre a könyvtárakra összpontosít, az eszköz megkerül bizonyos biztonsági korlátozásokat, amelyek védelmet nyújtanak a hagyományos hitelesítőadat-lopási technikák ellen. Mivel a webböngészők gyakran tárolnak jelszavakat és egyéb érzékeny információkat a felhasználói kényelem érdekében, az ezekhez a fájlokhoz hozzáférő támadók esetleg bejelentkezési adatokat kérhetnek le különböző online szolgáltatásokhoz.
A forceCopy Stealer tevékenységeinek következményei
A forceCopy Stealer bevezetése aggályokat vet fel a kiberbiztonságra gyakorolt szélesebb körű következményekkel kapcsolatban. Az ellopott böngészőadatokat többféle módon is ki lehet használni, beleértve a fiókokhoz való jogosulatlan hozzáférést, a személyazonosság-csalást vagy további célzott támadásokat. Ezenkívül, mivel a lopót más rosszindulatú eszközökkel, például kulcsnaplózókkal és proxy-alapú kommunikációs rendszerekkel együtt használják, az érintett személyek vagy szervezetek hosszú távú biztonsági kockázatokkal szembesülhetnek.
Az egyik figyelemre méltó változás Kimsuky taktikájában az olyan eszközök használata, mint az RDP Wrapper és a proxy malware, amelyek lehetővé teszik a támadók számára, hogy folyamatosan hozzáférjenek a feltört gépekhez. Ez módszereik evolúcióját jelenti, eltávolodva a korábban használt hátsó ajtóktól egy modulárisabb és adaptívabb megközelítés felé.
Tartós és folyamatosan fejlődő fenyegetés
Kimsuky, más néven APT43 és Emerald Sleet, több mint egy évtizede aktív. Gyakran alkalmaznak szociális tervezési taktikákat a biztonsági intézkedések megkerülésére. Az adathalász kampányok személyre szabására és a törvényes eszközök rosszindulatú célokra való kihasználására való képességük állandó fenyegetést jelentett a kiberbiztonsági környezetben.
A legújabb eredmények azt sugallják, hogy a csoport továbbra is finomítja módszereit, a forceCopy Stealer pedig arzenáljának legújabb tagja. A böngészőadatok ellopásának hangsúlyozása rávilágít a hitelesítő adatok iránti folyamatos érdeklődésre, potenciálisan kémkedés vagy pénzügyi haszonszerzés céljából. Ez a fejlesztés rávilágít arra, hogy a felhasználóknak ébernek kell lenniük az adathalász kísérletekkel és az illetéktelen adathozzáféréssel szemben.
A böngésző adatlopása elleni védekezés megerősítése
Tekintettel a böngésző alapú hitelesítő adatok tárolására, fontos védelmi intézkedéseket bevezetni az olyan fenyegetések ellen, mint a forceCopy Stealer. A felhasználóknak óvatosnak kell lenniük, amikor e-mail mellékleteket kezelnek, különösen az ismeretlen forrásból származókat. A szervezeteknek meg kell erősíteniük az e-mail biztonsági protokollokat, és figyelniük kell a gyanús tevékenységeket, amelyek jogosulatlan távoli hozzáférési kísérletekre utalhatnak.
Ha megérti a forceCopy Stealer működését és a Kimsukyhoz hasonló csoportok taktikáját, mindenki proaktív lépéseket tehet digitális eszközei védelmére és az ilyen kiberfenyegetések kockázatának csökkentésére.
