ForceCopy Stealer: slapta grėsmė, nukreipta į žiniatinklio naršyklės duomenis
Table of Contents
Naujas įrankis liūdnai pagarsėjusios įsilaužimo grupės arsenale
Kibernetinio saugumo ekspertai atskleidė sudėtingą kibernetinę grėsmę, žinomą kaip forceCopy Stealer – informacijos rinkimo įrankį, naudojamą tikslinėms atakoms. Šis vagis yra susijęs su Kimsuky – gerai dokumentuota įsilaužimo grupe, kuri, kaip manoma, yra susijusi su Šiaurės Korėjos žvalgybos tarnybomis. Naujausiose ataskaitose nurodoma, kad Kimsuky naudojo sukčiavimo būdus, kad platintų forceCopy Stealer, daugiausia dėmesio skirdamas slaptiems vartotojo duomenims, saugomiems žiniatinklio naršyklėse, gavimui.
Kaip užpuolikai diegia forceCopy Stealer
ForceCopy Stealer pristatymo metodas sukasi apie apgaulingus el. laiškus, sukurtus taip, kad atrodytų teisėti. Šiuose el. laiškuose paprastai yra priedas, kuris yra „Microsoft Office“ arba PDF dokumentas, kuris iš tikrųjų yra „Windows“ nuorodos (LNK) failas. Kai gavėjas atidaro failą, jis suaktyvina kenkėjiškus scenarijus per PowerShell arba Microsoft mshta.exe – abu yra teisėti sistemos įrankiai, dažnai naudojami neleistinais tikslais.
Įvykdžius šiuos scenarijus, iš išorinio šaltinio gaunami papildomi naudingieji kroviniai. Tada užpuolikai kartu su forceCopy Stealer diegia kitus įrankius, įskaitant gerai žinomą Trojos arklys PEBBLEDASH ir modifikuotą atvirojo kodo nuotolinio darbalaukio programos versiją, pavadintą RDP Wrapper. Šie komponentai veikia kartu, kad užtikrintų ilgalaikę prieigą prie pažeistų sistemų.
Pagrindinė forceCopy Stealer funkcija
„ForceCopy Stealer“ esmė yra skirta išgauti duomenis iš konkrečių vietų, susijusių su žiniatinklio naršyklėmis. Atrodo, kad pagrindinis tikslas yra naršyklės konfigūracijos failai, kuriuose gali būti saugomi prisijungimo duomenys. Sutelkdamas dėmesį į šiuos katalogus, įrankis apeina tam tikrus saugumo apribojimus, apsaugančius nuo įprastų kredencialų vagysčių metodų. Kadangi interneto naršyklės naudotojų patogumui dažnai saugo slaptažodžius ir kitą neskelbtiną informaciją, užpuolikas, turintis prieigą prie šių failų, gali nuskaityti prisijungimo prie įvairių internetinių paslaugų duomenis.
ForceCopy Stealer veiklos pasekmės
ForceCopy Stealer diegimas kelia susirūpinimą dėl platesnių pasekmių kibernetiniam saugumui. Pavogti naršyklės duomenys gali būti išnaudojami keliais būdais, įskaitant neteisėtą prieigą prie paskyrų, tapatybės sukčiavimą ar kitas tikslines atakas. Be to, kadangi vagystė naudojama kartu su kitomis kenkėjiškomis priemonėmis, pvz., klavišų registratoriais ir tarpinio serverio ryšio sistemomis, paveikti asmenys ar organizacijos gali susidurti su ilgalaike saugumo rizika.
Vienas žymus Kimsuky taktikos pokytis yra tokių įrankių kaip RDP Wrapper ir tarpinio serverio kenkėjiškų programų naudojimas, leidžiantis užpuolikams išlaikyti nuolatinę prieigą prie pažeistų mašinų. Tai rodo jų metodų evoliuciją, tolstant nuo anksčiau naudotų užpakalinių durų ir pasirenkant labiau modulinį ir adaptyvesnį požiūrį.
Nuolatinė ir besivystanti grėsmė
Kimsuky, taip pat žinomas tokiais slapyvardžiais kaip APT43 ir Emerald Sleet, veikia daugiau nei dešimtmetį. Jie dažnai taiko socialinės inžinerijos taktiką, kad apeitų saugumo priemones. Jų gebėjimas pritaikyti sukčiavimo kampanijas ir išnaudoti teisėtus įrankius kenkėjiškiems tikslams pavertė juos nuolatine grėsme kibernetinio saugumo srityje.
Naujausi išvados rodo, kad grupė ir toliau tobulina savo metodus, o „forceCopy Stealer“ yra naujausias jos arsenalo papildymas. Dėmesys naršyklės duomenų vagystei pabrėžia nuolatinį domėjimąsi įgaliojimais, galbūt šnipinėjimu ar finansine nauda. Ši plėtra pabrėžia, kad vartotojai turi išlikti budrūs nuo sukčiavimo bandymų ir neteisėtos prieigos prie duomenų.
Apsaugos nuo naršyklės duomenų vagystės stiprinimas
Kadangi vis dažniau naudojama naršyklėje pagrįsta kredencialų saugykla, svarbu įdiegti apsaugos priemones nuo grėsmių, tokių kaip forceCopy Stealer. Naudotojai turėtų būti atsargūs tvarkydami el. pašto priedus, ypač iš nežinomų šaltinių. Organizacijos turėtų sustiprinti el. pašto saugos protokolus ir stebėti, ar nėra įtartinos veiklos, kuri gali rodyti neteisėtos nuotolinės prieigos bandymus.
Suprasdami, kaip veikia forceCopy Stealer, ir taktiką, kurią taiko tokios grupės kaip Kimsuky, kiekvienas gali imtis aktyvių veiksmų, kad apsaugotų savo skaitmeninį turtą ir sumažintų tokių kibernetinių grėsmių riziką.
