Articole

Așa cum am menționat în articole anterioare, infractorii cibernetici au ca scop comun obținerea de câștiguri financiare, direct sau indirect. Am scris infractori, deoarece atacurile cibernetice lansate de aceștia se aseamănă cu infracțiunile cunoscute în viața de zi cu zi.
Atacului cibernetic asupra Ministerului Afacerilor Externe nu îi putem atribui o astfel de descriere, pentru că în acest caz nu mai putem discuta despre infracțiune financiară, scopul atacatorilor fiind foarte definit… și anume accesul în infrastructura Ministerului.

Documentul conține informațiile și analiza atacului cibernetic.

Steganography (/ˌstɛɡəˈnɒɡrəfi/ (listen) STEG-ə- NOG-rə-fee) is the practice of concealing a message within another message or a physical object. In computing/electronic contexts, a computer file, message, image, or video is concealed within another file, message, image, or video. The word steganography comes from Greek steganographia, which combines the words steganós (στεγανός), meaning „covered or concealed”, and -graphia (γραφή) meaning „writing – Wikipedia


What you see is a proof of three government institution
documents hosted on the official servers.
Important aspects:
• Three different people
• Three different years
• The same institution (National Agency…)

If you haven’t noticed anything special in these images
it’s normal. During this analysis you’ll notice some details
that make the difference and will make you wonder
about some things.
These questions appear are covered on this analysis.

I can tell you for sure that I do not know what these documents represent or what their ultimate purpose is. 100% of these government documents have been modified by someone, a threat actor or a system.

However, their existence raises questions from a cyber security perspective.
For now, I can only imagine a few ways in which the documents have reached this state.
• The computer used to edit them is compromised.
• The software used is modified to insert those characters into documents.
• The server of the Government Institution is compromised and someone has made the necessary
changes.

If this seems random or of low severity …
think about what I mentioned earlier (server, computer, software) and the implications of each element’s personal and confidential data that may be compromised and exploited by cyber criminals.

A source code – an opportunity to find out the secrets of malware applications
• Pegasus – Zero Click Spyware
• Pegasus – Remote Administration Tool
• Analysis of what the source code represents

Pegasus Spyware Zero Click – One of the most dangerous applications of cyber espionage. If most applications require the victim to click on something, it seems that in the case of Zero Click Spyware it is enough for the target device to receive an SMS. The device is compromised and under the control of the attacker.

The publication of the source code is an opportunity for cybersecurity specialists to discover the secrets of international cyber espionage. We’re going to explore the files we found to see if we’re really that lucky.

Odată cu extinderea semnificativă a spațiului virtual, utilizatorii din mediul online își împărtășesc din ce în ce mai multe informații personale și drept urmare, o cantitate enormă de date legate de identificare sau tranzacții financiare sunt expuse agresorilor cibernetici. Phishing-ul este unul dintre exemplele de criminalitate prin intermediul căruia infractorii își înșală victimele, cu scopul de a exploata ulterior elementele exfiltrate. De la primul atac raportat în 1990, metoda a evoluat, vectorii de livrare devenind deosebit de sofisticați. Articolul își propune evaluarea acestor acțiunii, identificarea și revizuirea tehnicilor existente.

Sectorul financiar este una dintre principale ținte ale infractorilor cibernetici, care folosesc deseori atacurile de phishing pentru a ocoli protocoalele de securitate ale băncilor, cu scopul de a-și atrage victime și de a le convinge de legitimitatea e-mailului falsificat. Aceștia apelează la diverse trucuri de inginerie socială prin crearea de scenarii (actualizare falsă a contului, upgrade de securitate etc.) și tehnici specifice (imitarea imaginilor, logo-urilor și identității instituțiilor bancare etc.).

Descarcă documentul: https://dnsc.ro/vezi/document/phishing-ul-bancar

Concluzii

Deși educația cibernetică reprezintă una dintre cele mai eficiente bariere de apărare împotriva phishing-ului, această amenințare va fi dificil de eliminat complet datorită complexității în continuă creștere, a rafinamentului atacurilor, a elementelor de inginerie socială și a instrumentelor tehnice în continuă dezvoltare. Se poate observa o repoziționarea a agresorilor care trec de la e-mailurile tradiționale, la phishing-ul bazat pe rețelele sociale, înregistrându-se un permanent decalaj între atacurile de phishing sofisticate și contramăsurile implementate.

Campaniile de conștientizare cu privire la phishing trebuie să fie promovate nu doar clienților și angajaților băncilor, ci și personalului responsabil de aplicarea legii, care este în măsură să investigheze infracțiunile economico – financiare online. Clienții trebuie să cunoască nivelul potențialului impact financiar rezultat în urma unui atac cibernetic reușit. Băncile trebuie să încerce să combată capabilitățile în continuă schimbare ale atacatorilor cibernetici prin crearea de aplicații online adaptate, mai sigure, cu potențial de a recunoaște mai rapid schemele infracționale de tip phishing. Angajații care transferă fonduri în mod regulat, care gestionează date sensibile, sau care participă la activități cu risc operațional ridicat au nevoie de instruire suplimentară despre cum să detecteze și să evite capcanele phishing mai sofisticate. Persoanele cu rol de aplicare a legii trebuie de asemenea să fie familiarizate cu instrumentele utilizate în atacurile de tip phishing și să înțeleagă modul în care acestea funcționează, pentru a atribui corect atacurile făptuitorilor și pentru a propune contramăsuri mai eficiente.

Formarea continuă privind riscurile de securitate cibernetică poate fi cheia pentru a evita pierderile și pentru a reduce impactul. În acest articol s-a dorit evidențierea importanței dezvoltării mai multor tehnici anti-phishing, cu rol de detectare și blocare a atacurilor, precum și o taxonomie clară pentru a înțelege cât mai mult din ciclul de viață al phishing-ului.

Referințe:

Directoratul Național de Securitate Cibernetică – https://dnsc.ro/vezi/document/phishing-ul-bancar
Siguranța Online – https://sigurantaonline.ro/phishing-ul-bancar/
ResearchGate – https://www.researchgate.net/publication/360393165_Phishing-ul_bancar_Propuneri_de_solutii_pentru_diminuarea_numarului_de_victime_ale_atacurilor_cibernetice_de_tip_phishing

Atacul DDOS

Atacul DDOS este o formă de atac cibernetic realizat prin trimiterea excesivă de date către serverul țintă. Pentru realizarea atacului nu este obligatoriu ca atacatorul să fie hacker și să aibă cunoștințe tehnice deosebite, dar impactul asupra țintei va depinde de anumite criterii esențiale.

Este considerat un atac cibernetic deoarece poate produce pagube în toate industriile și mai ales infrasctructurilor serviciilor esențiale.

Atunci când se lansează un astfel de atac trebuie să existe:

  • O țintă clară (nu introduci un IP la nimereală),
  • Un scop clar (faimă, mesaj, daune),
  • Buget(platformă ddos, zombi, echipament, proxy).
  • Sacrificiu (dispozitive/ Ip-uri care devin inutile)

Primele două sunt ușor de înțeles, așa că vom insista doar pe buget și sacrificiu.

Buget.

DDOS-as-a-Service
Realizarea atacurilor DDOS se poate face prin intermediul platformelor care oferă servicii de acest gen. Ca și preț pentru 1 oră de DDOS asupra unui IP vorbim de 10-35$. Un ”atacator” va plăti în funcție de ceea ce dorește ca platforma să facă pentru el (tip, timp, putere). În timpul atacului acesta va accesa o altă platformă de control a funcționalității IP, va copia adresa raportului și se va lăuda cu ”atacul hacking” asupra țintei X.

Servere compromise.
O altă metodă de atac este folosirea serverelor compromise(de aceea se insistă pe securizarea infrastructurilor administrate). Hackerii compromit servere vulnerabile sau prin intermediul verigilor slabe(angajați) și introduc o serie de scripturi pentru persistența accesului, dar și pentru folosirea infrastructurii în desfășurarea unor tipuri de atacuri(ddos, distribuire de malware, campanii phishing etc). De cele mai multe ori aceștia vând accesul la aceste scripturi sau le folosesc pentru platformele mai sus menționate. Dar revenind la subiectul principal, vom sublinia faptul că doritorii de DDOD vor cumpăra accesul la aceste scripturi și le vor folosi după bunul plac.

Zombi
Exact! Ca în filmele cu acei oameni care făceau anumite lucruri fără a exista consimțământ. Așa și în cazul nostru, doar că sunt folosite dispozitivele oamenilor(și aici iar amintesc de necesitatea securizării, dar pentru dispozitivele noastre: pc, telefon, tabletă, router, tv, frigider smart etc). Atacatorii lansează campanii de distribuire a virușilor, iar dispozitivele infectate vor aștepta comenzile hackerului. Aici nu doar timpul de atac este foarte mare, ci și bugetul necesar pentru menținerea accesului.

Echipament/ Proxy
Aplicațiile pentru atacul DDOS nu sunt ceva super complicat și se pot obține ușor, fie fiind cumpărate, fie folosindu-se aplicații piratate/ sparte. Aici factorii importanți sunt lista de IP-uri folosită sau nodurile de redirecționare. De obicei, IP-urile folosite în atacuri cibernetice intră în diferite liste negre și vor fi respinse de mecanismele de apărare dispozitivelor sau infrastructurilor(antivirus, firewall etc), drept urmare, pentru a realiza un atac trebuie ca atacatorul să cumpere liste care să conțină IP-uri bune.

Sacrificiu

Sacrificiul este legat ceea ce am descris la Buget.
Atunci când este efectuat un astfel de atac, Toate IP-urile sunt preluate de mecanismele de apărare și introduse în lista neagră, această listă ajunge să fie folosită de mai multe mecanisme anti hacking și astfel devin inutile.
Sacrificiul vine atunci când se inițiază un astfel de atac.. știind că acele dispozitive sau IP-uri folosite nu vor mai fi bune pentru alte atacuri.

Dar… acest lucru este valabil NUMAI atunci când infrastructurile folosesc mecanisme de apărare împotriva atacurilor cibernetice!!!

Impactul atacurilor DDOS

Trebuie să înțelegem că impactul unui atac DDOS diferă de la infrastructură la infrastructură, depinde de timpul de atac și de mecanismele de apărare.

Impactul asupra unei pagini de prezentare nu se aseamănă cu atacul asupra unui magazin online, deoarece blocarea temporară a accesului la pagina web poate afecta imaginea și corespondența, în schimb magazinul online nu va putea vinde produse în timpul atacului cibernetic.

Infrastructurile cu soluții de apărare implementate vor fi afectate mai puțin sau chiar deloc vizibil, deoarece unele IP-uri vor fi blocate foarte repede, iar unele vor fi direcționate spre ”găurile negre” pregătite pentru astfel de situații.

Ce se poate face pentru evitarea/ stoparea incidentelor.

Exista o serie de măsuri care se pot aplica pentru diminuarea impactului, iar administratorii de rețele pot apela oricând la prietenul Google pentru implementare.

Dar… vom pune în articol câteva idei.

  1. In funcție de buget, se pot achiziționa echipamente anti DDOS sau servicii anti DDOS(traficul va trece prin serverele acestora, iar administratorul doar va fi notificat că a exista un atac, fără a fi afectată infrastructura),
  2. Setarea corectă a permisiunilor și a accesului la infrastructură(white/ black lists),
  3. În funcție de funcționalitatea infrastructurii se pot aplica restricții/ limitări pe timpul nopții,
  4. Dacă activitatea este dedicată utilizatorilor din România, o restricție pe IP este o soluție bună(asta dacă atacatorul nu are IP-uri curate de România),
  5. .. mai completăm dacă ne mai vin idei(încă sunt la jumătatea ceștii de cafea…)

Măsura cea mai interesantă și eficientă este cea ofensivă, dar nu o punem în listă, deoarece x, y, z. Un mecanism de apărare ofensiv ar prelua, în timp real, toate IP-urile folosite în atac și ar trimite către acestea un flux de date care să ducă la blocarea serverelor/ dispozitivelor folosite în atac. În acest caz, atacatorii și dispozitivele acestora vor deveni victime ale propriilor acțiuni, iar țintele acestora nu vor avea de suferit.
Desigur, vor exista victime colaterale, dispozitivele și infrastructurile compromise(folosite de atacatori) fiind afectate pe termen scurt, dar…

Pentru a înțelege mai bine situația, vom folosi un scenariu foarte legat de realitate.

Un magazin online poate funcționa pe un server pe care îl împarte cu alți chiriași sau unul dedicat. Indiferent de situație, acel server face parte dintr-o infrastructură și este echipat cu mecanisme automate de apărare/ protejare.
Pentru face un calcul al impactului și stabilirea unor restricții.. de exemplu pe IP, încât după anumite ore sau pe toată durata acestei perioade doar clienții din România să poată accesa magazinul, trebuie să existe o imagine clară a clienților, pentru a vedea câți clienți sunt din afara țării. În funcție de procentul acestora (5 -10 -15%) și raportat la 30 de zile puteți face o un calcul al sumei pierdute dacă blocați accesul.
Restul de 85%, care provin din România, nu îi vom raporta la 30 de zile, ci la 1-2 zile în care magazinul nu ar mai fi funcțional.
De ce 1-2 zile? Deoarece în cazul unui atac de tip DDOS mecanismele de apărare ale infrastructurii din care face parte serverul magazinului se va proteja și va suspenda întregul server, pentru a nu fi afectate și alte componente ale acestuia.
Mai exact, dimineață veți observa ca magazinul este offline, urmează un schimb de mesaje/ telefoane cu administratorul, acesta discută cu echipa tehnica a infrastructurii și până la urmă magazinul revine la normal, doar că în tot acest timp clienții nu l-au putut accesa și au căutat în altă parte.

Fiind o perioadă dificilă și luând în considerare creșterea numărului de atacuri cibernetice suntem obligați să luăm măsuri mai drastice. Să calculăm posibilele pierderi în cazul unui atac cibernetic și să implementăm măsuri de diminuare a impactului.
Măsuri adaptate la serviciile oferite, posibile pierderi, impact, imagine…buget etc.

Septembrie 2021.

Fortigate VPN leak. Lista a 500.000 de servere a fost făcută publică zilele și toată lumea a început să reacționeze, să încerce remedierea vulnerabilităților care le expuneau datele de acces.

Sursă: CERT-RO – 2021/09/09

Ceea ce trebuie să înțeles, este faptul că vulnerabilitatea a devenit publică cu mult înainte, deci… aceasta a fost exploatată o perioadă bună de timp de câteva grupuri restrânse, iar după publicare a fost exploatată de toți cei interesați și pricepuți la astfel de activități. Acum, la expunerea totală a datelor de acces, serverele vulnerabile sunt exploatate de oricine.

Februarie 2021

Am aflat și căutat informații despre vulnerabilitate, am testat impactul asupra severului de VPN.
Am început analizarea infrastructurii din România, pentru a găsi potențiale servere, asupra cărora ar putea avea impact vulnerabilitatea.
Într-un mod subtil am lansat o avertizare și pe social media, știind că cei interesați vor cere informații despre vulnerabilitate.

Martie 2021.


Am adunat informațiile despre serverele din România care rulează acest serviciu și am trimis avertizarea către Centrul National de Răspuns la Incidente Cibernetice (CERT-RO) , devenit DNSC – Directoratul National de Securitate Cibernetică.

Echipa de răspuns la incidente a preluat informațiile și în regim de urgență s-a trecut la găsirea deținătorilor și implicit avertizarea acestora, cu privire la vulnerabilitatea care afișează datele de logare a utilizatorilor de VPN.

Cei afectați aparțineau sectorului public, dar și privat. Instituții, distribuitori echipamente medicale, agentie turism,  telecomunicații, lanț farmaceutic… plus IP-uri ale căror deținători nu am avut timp să le analizăm, dar echipa CERT-RO s-a ocupat în detaliu.

Un număr impresionant de servere care erau deja exploatate sau urmau să fie, luând în calcul rapiditatea răspândirii informațiilor despre vulnerabilitate și apariția tutorialelor de exploatare.

Revenim la Septembrie 2021.

O listă impresionantă apare public. Lista conține toate serverele care au fost vulnerabile de la apariția publică a CVE-ului, dar și toate datele de logare ale utilizatorilor.

De fapt, știrea apărută pe toate canalele vorbește despre o listă apărută și în mod clar, incă nu o avea toată lumea. Cert este că, mai nou o aveau cei care frecventează anumite platforme hacking, aceștia fiind analiști/ cercetători în securitate cibernetică și desigur, cei care sunt implicați în activități cibernetice ilegale.

„nicxxx:[email protected]#”,./10443_/RO/136.x.x.x.txt”,”nicxxx:[email protected]#”, „ip”: „136.x.x.x”

 „uzexxx:12%asdxx”,./10443_/RO/86.x.x.x.txt”,”uzexxx:12%asdxx”, „ip”: „86.x.x.x”

 „delxxx:[email protected]”,./10443_/RO/5.x.x.x.txt”,”delxxx:[email protected]”, „ip”: „5.x.x.x”

 „pexxx:Opxx”,./10443_/RO/86.x.x.x.txt”,”pexxx:Opxx”, „ip”: „86.x.x.x”

 „sixxx:SDxx”,./10443_/RO/86.x.x.x.txt”,”sixxx:SDxx”, „ip”: „86.x.x.x”

 „tdxxx:diPxx”,./10443_/RO/5.x.x.x.txt”,”tdxxx:diPxx”, „ip”: „5.x.x.x”

Acesta a fost moment de panică pentru administratori, IT-iști, centre de Securitate cibernetică etc.
Dar nu și pentru noi… în mod sigur nici pentru DNSC România.

În ceea ce privește România, lista conține serverele trimise de noi catre DNSC..în  Martie 2021, dar și câteva noi.

Iar din auzite, unele entități și-au rezolvat rapid vulnerabilitatea, dar sunt sigur că nu s-au conformat toți!

Din punctul nostru de vedere, situația este următoarea.
Vulnerabilitatea este exploatată de mult timp, deci administratorii nu ar fi putut face ceva, dar, cel puțin din Martie 2021 puteau da curs avertizării inițiate de echipa CERT-RO, pentru a evita compromiterea sau o nouă compromitele, care din acel moment putea veni din partea oricărui doritor de exploatare a serverelor.

Ceea ce nu este foarte discutat, este faptul că toată lumea s-a concentrat pe eliminarea vulnerabilității, dar nimeni nu vorbește despre serverele deja exploatate.
Cu ce au fost infectate? Ce comenzi au fost executate?
Interesant, nu?

În concluzie, atragem atenția asupra importanței comunicării și a conformării, atunci cănd avertizați sau informați despre anumite vulnerabilități. Cei care s-au conformat in Martie, nu au avut motive de panică în Septembrie.

Mulțumesc echipei de răspuns la incidente din cadrul Directoratului Național de Securitate Cibernetică, pentru promptitudinea și seriozitatea de care dau dovadă la fiecare avertizare/ informare trimisă de către echipa Prodefence!!!

Din nou despre atacurile de tip Phishing.
Este cel mai folosit și cel mai eficient atac la nivel individual, dar cu impact extins, în funcție de ținta finală a atacatorilor.

Conduce la extragerea de date personale, fraude financiare, infiltrare spre resurse ale companiilor/ instituțiilor, profilare…etc.
De cele mai multe ori, există indicii ale atacurilor.
Ele sunt vizibile, dar trebuie ca noi să fim atenți și să nu ne lăsăm păcăliți de mesajele amenințătoare sau ademenitoare!Prin educație, putem reuși diminuarea numărului de victime!

CERT-RO
ProDefence
FinCrime
Cyscoe – Cyber Security Cluster of Excellence


#educatiecibernetica #furtdate #phishing #banca #frauda #romania #hacking

După cum am menționat în articolele anterioare, dacă vrem să avem parte de acea schimbare, la nivel de securitate cibernetică, trebuie să colaborăm și să ne implicăm în această activitate zilnică.

Pe social media am anunțat apariția unei pagini ce părea afectată de Ransomware, dar era doar începutul, deoarece hackerul anunțase deja compromiterea a 3 servere de hosting. Au urmat alte 28 de pagini atacate de aceiași persoană, dar și o surpriză din partea unui atacator român care a criptat pagina unei instituții.

Adresele găsite au ajuns la CERT-RO, pentru a putea fi anunțați deținătorii. O parte dintre aceștia au luat măsurile necesare.. sau au făcut ce au putut, dar au avut inițiativă.
În schimb, o parte dintre cele 28 de pagini încă sunt la același stadiu, așa că îi vom anunța prin acest articol draguț!

Listă domenii afectate la momentul realizării articolului:

  • http://raufar.ro/
  • http://raufarwater.ro/
  • http://www.bigprintsolutions.ro/
  • http://militarywatch.ro/
  • http://imfarco.ro/
  • http://forsining.ro/
  • http://www.psihologmures.ro/
  • https://clubaventura.ro/

O altă surpriză vine din partea atacatorilor români. O nouă pagină criptată și semnată de o grupare românească!

http://gestino.ro/
Plus încă una >> http://eurodinamic.ro/

Așadar aici suntem! Lucrurile evoluează în toate direcțiile!
Nimic nu poate fi 100% securizat, dar măcar să încercăm!

Succes în activitățile pe care le aveți!

Cu respect,

Alexandru Angheluș!

Pentru susținerea conceptului de colaborare, așa cum scriam și în articolul Colaborare, Buget, Implicare | Ransomware – Cobalt Strike, în acest articol vor fi adăugate IP-urile din România, care sunt/ sau au fost compromise, prin intermediul agenților de exploatare Cobalt Strike, Scythe, Mythic și Posh.

Datele sunt publice, doar că, pentru centralizarea lor trebuie alocat puțin timp.
Ideea este ca cei din comunitatea de securitate cibernetică să aibă acces la aceste date, pentru a își putea proteja infrastructura lor sau a clienților.

Inițial, avertizarea a ajuns la CERT-RO, cu detaliile necesare, iar pe social media doar ca informație.


Ip-urile din lista următoare, sunt servere sau dispozitive care au intrat în legătură cu agenți de exploatare, deoarece au/ au avut vulnerabilități exploatabile. Unele IP-uri apar în mai multe liste, ceea ce denotă că au fost testate/ exploatate din mai multe direcții.

Cobalt 1 Cobalt 2 Cobalt 3 Cobalt 4 Cobalt 5
Mythic 1 Mythic 2
Metasploit ssl listener Metasploit ssl listener
Merlin
MacC2 MacC2
Shad0w
GRAT2 C2
Covenant
SILENTRINITY
PoshC2

Sursa semnăturilor(hash): GitHub

Descoperirea la timp a unui server deja compromis, poate preveni un incident major. Uneori serverele sau dispozitivele sunt deja compromise, dar hackerii încă nu au început exploatarea lor, așa că trebuiesc luate măsuri IMEDIAT!

Succes la patch-uri și spor la treabă!

Articol realizat în colaborare cu Mircea Scheau.

Vom încerca să vă prezentăm firul evenimentelor astfel încât să fie cât mai simplu de înțeles pentru orice vârstă. 

Într-o primă etapă, email-ul ajuns la adresa clientului părea că transmite un mesaj legitim din partea băncii. Utilizatorul a remarcat particularități ce i-au trezit suspiciuni și l-a tratat ca pe o posibilă amenințare. Fiind o persoană ce a dobândit cunoștințe suplimentare în timpul ședințelor de educație cibernetică, a urmat sfaturile noastre: 

La primirea unui email, trebuie să citim cu atenție întreg conținutul pentru a stabili dacă informațiile sunt veridice și corespund activităților noastre: 

  • Așteptăm vreo factură? 
  • Firma care solicită plata face parte din cercul de colaboratori? 
  • Este o plată programată? 
  • Există elemente suplimentare care să ne îndemne să ne punem întrebări? 

Drept urmare, destinatarul a redirecționat mesajul către centrul nostru de analiză malware/ phishing.  

Documentele de plată din partea băncii sunt livrate uneori în format PDF (ex. NumeDocument.pdf).
Dacă sunteți atenți la acest detaliu, veți observa că documentele din atașament au alte terminații decât .pdf. Dacă sunt de tip doc sau docx ne semnalează că sunt editabile, dar de ce ne-ar trimite banca un document editabil? Aceeași întrebare se pune și mai accentuat în cazul celor cu terminații de tip iso, zip, rar, exe, apk etc. 


Sperând că v-am atras atenția asupra acestor aspecte, vă vom expune mai clar câteva dintre detaliile documentului! 

Vom secționa denumirea documentului în 3 părți distincte: Document_BT24 | PDF | .iso 

Document_BT24 – poate fi denumirea documentului;
PDF – prezența extensiei are doar rolul de inducere în eroare. Dacă documentul ar fi de tip PDF, ar trebui ca terminația (finală) a acestuia să fie .pdf
.iso –
aceasta este terminația reală a documentului din atașament. De ce .iso? Deoarece acest format permite arhivarea și execuția mai multor fișiere ascunse, ce nu pot fi detectate de un utilizator obișnuit, neatent. În plus, filtrele se securitate ale serverelor de email sunt mai ușor de păcălit, fișierul nefiind considerat un executabil (cu extensia .exe).

Trebuie să precizăm că deschiderea directă a fișierului .iso poate conduce la executarea tuturor setărilor / instrucțiunilor încărcate în prealabil de cel care l-a creat.
Pentru a elimina îndoielile și pentru a răspunde la întrebarea – Dacă este un document PDF, ce să extragă? – printr-un simplu ”click dreapta” putem accesa câteva opțiuni prin care scoatem documentul din faza de arhivare. 

În cazul semnalat de clientul nostru, fișierul .iso ascundea un fișier executabil (.exe), care putea să ajungă și să ruleze în calculatorul potențialei victime. 

O bună recomandare ar fi să scanăm documentele suspecte, DAR trebuie reținută și ideea că ceea ce scanăm poate deveni vizibil pentru alte persoane ce exploatează platforme de analiză malware, așa cum se menționează în articolul ” Divulgarea de informații prin imprudență – Transmitere – Colectare – Exploatare”.

https://www.virustotal.com/gui/file/f936a5f90393893122125c6a69d4b1827724d12b74234b61e401438df7903c53/detection 

Scanând fișierul, putem afla care dintre soluțiile Antivirus cunosc semnătura acestuia, încăt să îl declare curat, suspicios sau periculos.
28 din cele 59 scanere au răspuns cu anumite denumiri marcate cu roșu, iar celelalte declară că nu au detectat nimic. Din fericire, clientul folosește una dintre soluțiile care puteau detecta virusul.
Pentru ambele fișiere s-a rulat prima scanare în 15.03.2021, ceea ce ne îndreptățește să credem că noi am semnalat primii tentativele de atac din această campanie, cu acest fișier malware. 

https://www.virustotal.com/gui/file/ea35fc2461b09c5c93454c61d6d8977b338bd546db2eb7cb118e2a40e244a7e7/detection

Consultând lista soluțiilor Antivirus, constatăm că aplicația suspectă se regăsește în acele liste și semnătura virusului este deja cunoscută, ceea ce ne face să credem că șansele ca antivirusul să fi declanșat un semnal de alarma erau destul de mari, chiar dacă email-ul nu ar fi fost trimis spre analiză către noi. 

Pentru a identifica riscul la care ar fi fost expusă compania clientului nostru, a trebuit să aflăm ce zone putea și intenționa să afecteze virusul. De aceea, am rulat malware-ul așa cum a fost el recepționat și l-am lansat împotriva sistemului de test pregătit pentru astfel de situații. 

La activarea fișierului .iso a fost afișată arhiva ce conținea elementul care urma să infecteze sistemul. Am rulat acel fișier și am așteptat să înregistrăm efectul. 

Urmărind și filtrând traficul, s-a putut observa conectarea la un server FTP, către care calculatorul a trimis un fișier .html, observând în același timp informațiile de logare, acestea fiind necesare pentru încărcarea acestuia pe serverul FTP. 

Am constat că adresa FTP aparține unui domeniu din Romania, care  a fost probabil compromis și exploatat pentru exfiltrarea de date personale. 

Rezultatul analizei primare ne îndeamnă să credem că o serie de date personale sau / și credențiale de acces sunt extrase din calculatoarele victimelor și trimise la adresa FTP malițioasă. Fișierul infectat fiind un Stealer(aplicație care fură toate parolele salvate în computer).
Ulterior, atacatorul se loghează la acea adresă, având acces la tot ceea ce s-a colectat (furat) de la victime.

Campanie asemănătoare: https://www.prodefence.ro/email-capcana-din-partea-unei-banci-din-romania/

Deși cazul a fost rezolvat, am trimis toate informațiile către Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), pentru a anunța deținătorul domeniului .ro, compromis și pentru a avea detalii despre această nouă campanie malware.

Recomandarea noastră este cam aceiași, ca în fiecare avertizare. NU vă grabiți! Mesajele care sunt importante pentru dumneavoastră, trebuiesc tratate cu atenție!
Atenție la detalii!
Dacă nu știți, dacă ceva este suspect… apelați la un Specialist în Securitate Cibernetică și nu vă lasați înșelati, furați!