ForceCopy Stealer: Podstępne zagrożenie atakujące dane przeglądarki internetowej
Table of Contents
Nowe narzędzie w arsenale znanej grupy hakerów
Eksperci ds. cyberbezpieczeństwa odkryli wyrafinowane cyberzagrożenie znane jako forceCopy Stealer, narzędzie do gromadzenia informacji wykorzystywane w ukierunkowanych atakach. Ten złodziej jest powiązany z Kimsuky , dobrze udokumentowaną grupą hakerską, o której uważa się, że jest powiązana z północnokoreańskimi służbami wywiadowczymi. Ostatnie raporty wskazują, że Kimsuky wykorzystuje techniki phishingu do dystrybucji forceCopy Stealer, koncentrując się na uzyskiwaniu poufnych danych użytkowników przechowywanych w przeglądarkach internetowych.
Jak atakujący wdrażają forceCopy Stealer
Metoda dostarczania dla forceCopy Stealer opiera się na oszukańczych wiadomościach e-mail, które mają sprawiać wrażenie legalnych. Te wiadomości e-mail zazwyczaj zawierają załącznik podszywający się pod dokument Microsoft Office lub PDF, który w rzeczywistości jest plikiem skrótu systemu Windows (LNK). Po otwarciu pliku przez odbiorcę uruchamia on złośliwe skrypty za pośrednictwem programu PowerShell lub programu Microsoft mshta.exe — oba są legalnymi narzędziami systemowymi często wykorzystywanymi do nieautoryzowanych celów.
Po wykonaniu tych skryptów dodatkowe ładunki są pobierane z zewnętrznego źródła. Następnie atakujący wdrażają inne narzędzia obok forceCopy Stealer, w tym znanego trojana o nazwie PEBBLEDASH i zmodyfikowaną wersję narzędzia open-source Remote Desktop o nazwie RDP Wrapper. Te komponenty działają w połączeniu, aby ustanowić długoterminowy dostęp do naruszonych systemów.
Podstawowa funkcja forceCopy Stealer
W swojej istocie forceCopy Stealer został zaprojektowany do wyodrębniania danych z określonych lokalizacji powiązanych z przeglądarkami internetowymi. Głównym celem wydają się być pliki konfiguracyjne przeglądarki, które mogą zawierać przechowywane dane logowania. Skupiając się na tych katalogach, narzędzie obchodzi pewne ograniczenia bezpieczeństwa, które chronią przed konwencjonalnymi technikami kradzieży danych logowania. Ponieważ przeglądarki internetowe często przechowują hasła i inne poufne informacje dla wygody użytkownika, atakujący z dostępem do tych plików mógłby potencjalnie pobrać dane logowania do różnych usług online.
Konsekwencje działań forceCopy Stealer's Activities
Wdrożenie forceCopy Stealer budzi obawy o szersze implikacje dla cyberbezpieczeństwa. Skradzione dane przeglądarki mogą zostać wykorzystane na kilka sposobów, w tym nieautoryzowany dostęp do kont, oszustwa tożsamości lub dalsze ukierunkowane ataki. Ponadto, ponieważ stealer jest używany obok innych złośliwych narzędzi, takich jak keyloggery i systemy komunikacji oparte na proxy, dotknięte nim osoby lub organizacje mogą stanąć w obliczu długoterminowych zagrożeń bezpieczeństwa.
Jedną z zauważalnych zmian w taktyce Kimsuky'ego jest wykorzystanie narzędzi takich jak RDP Wrapper i proxy malware, które pozwalają atakującym na utrzymanie stałego dostępu do zainfekowanych maszyn. Stanowi to ewolucję ich metod, odchodząc od wcześniej używanych tylnych drzwi na rzecz bardziej modułowego i adaptacyjnego podejścia.
Trwałe i ewoluujące zagrożenie
Kimsuky, znany również pod pseudonimami takimi jak APT43 i Emerald Sleet, działa od ponad dekady. Często stosują taktykę inżynierii społecznej, aby ominąć środki bezpieczeństwa. Ich zdolność do dostosowywania kampanii phishingowych i wykorzystywania legalnych narzędzi do złośliwych celów uczyniła z nich stałe zagrożenie w krajobrazie cyberbezpieczeństwa.
Ostatnie odkrycia sugerują, że grupa nadal udoskonala swoje metody, a forceCopy Stealer jest najnowszym dodatkiem do jej arsenału. Nacisk na kradzież danych przeglądarki podkreśla ciągłe zainteresowanie poświadczeniami, potencjalnie w celu szpiegostwa lub zysku finansowego. Ten rozwój sytuacji podkreśla potrzebę zachowania przez użytkowników czujności w przypadku prób phishingu i nieautoryzowanego dostępu do danych.
Wzmocnienie obrony przed kradzieżą danych przeglądarki
Biorąc pod uwagę rosnące wykorzystanie przechowywania danych uwierzytelniających w przeglądarce, ważne jest wdrożenie środków ochronnych przed zagrożeniami takimi jak forceCopy Stealer. Użytkownicy powinni zachować ostrożność podczas obsługi załączników e-mail, zwłaszcza tych pochodzących z nieznanych źródeł. Organizacje powinny wzmocnić protokoły bezpieczeństwa poczty e-mail i monitorować podejrzane działania, które mogą wskazywać na nieautoryzowane próby zdalnego dostępu.
Rozumiejąc sposób działania forceCopy Stealer i taktyki stosowane przez grupy takie jak Kimsuky, każdy może podjąć proaktywne kroki w celu ochrony swoich zasobów cyfrowych i zmniejszenia ryzyka wystąpienia tego typu zagrożeń cybernetycznych.
