Οι χάκερ κλειδώνουν τους χειριστές Mars Stealer από τους δικούς τους διακομιστές • TechCrunch

23
Οι χάκερ κλειδώνουν τους χειριστές Mars Stealer από τους δικούς τους διακομιστές • TechCrunch

Μια εκκίνηση έρευνας ασφαλείας και πειρατείας λέει ότι βρήκε ένα σφάλμα κωδικοποίησης που της επιτρέπει να κλειδώνει τους χειριστές του κακόβουλου λογισμικού Mars Stealer από τους δικούς τους διακομιστές και να απελευθερώνει τα θύματά τους.

Το Mars Stealer είναι κακόβουλο λογισμικό που κλέβει δεδομένα ως υπηρεσία, επιτρέποντας στους εγκληματίες του κυβερνοχώρου να νοικιάζουν πρόσβαση στην υποδομή για να εξαπολύσουν τις δικές τους επιθέσεις. Το ίδιο το κακόβουλο λογισμικό διανέμεται συχνά ως συνημμένα email, κακόβουλες διαφημίσεις και συνοδεύεται από torrent αρχεία σε ιστότοπους κοινής χρήσης αρχείων. Μόλις μολυνθεί, το κακόβουλο λογισμικό κλέβει τους κωδικούς πρόσβασης και τους κωδικούς δύο παραγόντων ενός θύματος από τις επεκτάσεις του προγράμματος περιήγησής του, καθώς και τα περιεχόμενα του τα πορτοφόλια κρυπτονομισμάτων τους. Το κακόβουλο λογισμικό μπορεί επίσης να χρησιμοποιηθεί για την παράδοση άλλων κακόβουλων ωφέλιμων φορτίων, όπως ransomware.

Νωρίτερα φέτος, ένα σπασμένο αντίγραφο του κακόβουλου λογισμικού Mars Stealer διέρρευσε στο διαδίκτυο, επιτρέποντας σε οποιονδήποτε να δημιουργήσει τον δικό του διακομιστή εντολών και ελέγχου Mars Stealer, αλλά η τεκμηρίωσή του ήταν ελαττωματικό, και καθοδήγησε τους επίδοξους κακούς ηθοποιούς να ρυθμίσουν τους διακομιστές τους με τρόπο που θα αποκάλυπταν ακούσια τα αρχεία καταγραφής που είναι γεμάτα με δεδομένα χρήστη που έχουν κλαπεί από τον υπολογιστή των θυμάτων. Σε ορισμένες περιπτώσεις, ο χειριστής θα μολυνόταν κατά λάθος με κακόβουλο λογισμικό και θα αποκάλυπτε τα προσωπικά του δεδομένα.

Το Mars Stealer κέρδισε την έλξη τον Μάρτιο μετά την κατάργηση του Raccoon Stealer, ενός άλλου δημοφιλούς κακόβουλου λογισμικού κλοπής δεδομένων. Αυτό οδήγησε σε αύξηση των νέων καμπανιών Mars Stealer, συμπεριλαμβανομένων των μαζική στόχευση της Ουκρανίας τις εβδομάδες μετά την εισβολή της Ρωσίας και μια μεγάλης κλίμακας προσπάθεια μόλυνσης των θυμάτων από κακόβουλες διαφημίσεις. Μέχρι τον Απρίλιο, οι ερευνητές ασφαλείας είπαν ότι βρήκαν περισσότερους από 40 διακομιστές φιλοξενώντας το Mars Stealer.

Τώρα, η Buguard, μια startup δοκιμών διείσδυσης, είπε ότι η ευπάθεια που ανακάλυψε στο κακόβουλο λογισμικό που διέρρευσε της επιτρέπει να εισβάλει εξ αποστάσεως και να «νικήσει» τους διακομιστές εντολών και ελέγχου του Mars Stealer που χρησιμοποιούνται για την κλοπή δεδομένων από μολυσμένους υπολογιστές του θύματος.

Ο Youssef Mohamed, ο επικεφαλής τεχνολογίας της εταιρείας, είπε στο TechCrunch ότι η ευπάθεια, αφού γίνει εκμετάλλευση, διαγράφει τα αρχεία καταγραφής από τον στοχευμένο διακομιστή Mars Stealer, τερματίζει όλες τις ενεργές περιόδους λειτουργίας που κόβουν τους δεσμούς με τους υπολογιστές των θυμάτων και, στη συνέχεια, κωδικοποιεί τον κωδικό πρόσβασης του πίνακα ελέγχου οι χειριστές δεν μπορούν να συνδεθούν ξανά.

Ο Μοχάμεντ είπε ότι αυτό σημαίνει ότι ο χειριστής χάνει την πρόσβαση σε όλα τα κλεμμένα δεδομένα του και θα πρέπει να στοχεύσει και να μολύνει ξανά τα θύματά του από την αρχή.

Η ενεργή στόχευση των διακομιστών κακών παραγόντων και εγκληματιών του κυβερνοχώρου, γνωστή ως „hacking back“, είναι ανορθόδοξη και συζητείται έντονα τόσο για τα πλεονεκτήματα όσο και για τα μειονεκτήματά της και γιατί η πρακτική στις ΗΠΑ προορίζεται αποκλειστικά για κυβερνητικές υπηρεσίες. Μια γενικά αποδεκτή αρχή στην καλής πίστης έρευνα ασφάλειας είναι να κοιτάτε αλλά να μην αγγίζετε κάτι που βρίσκεται στο διαδίκτυο εάν δεν σας ανήκει, μόνο να το τεκμηριώνετε και να το αναφέρετε. Ωστόσο, ενώ μια κοινή τακτική είναι να ζητάμε από τους οικοδεσπότες Ιστού και τους καταχωρητές τομέων να κλείσουν κακόβουλους τομείς, ορισμένοι κακοί παράγοντες εγκαθίστανται σε χώρες και δίκτυα όπου μπορούν να λειτουργούν τις λειτουργίες κακόβουλου λογισμικού τους σε μεγάλο βαθμό με νομική ατιμωρησία και χωρίς φόβο δίωξης.

Ο Μοχάμεντ είπε ότι η εταιρεία του έχει ανακαλύψει και εξουδετερώσει πέντε διακομιστές Mars Stealer μέχρι στιγμής, τέσσερις από τους οποίους στη συνέχεια βγήκαν εκτός σύνδεσης. Η εταιρεία δεν δημοσιεύει την ευπάθεια για να μην ενημερώνει τους χειριστές, αλλά είπε ότι θα μοιραστεί λεπτομέρειες για το ελάττωμα με τις αρχές με στόχο να βοηθήσει στην εξάλειψη περισσότερων χειριστών Mars Stealer. Η ευπάθεια υπάρχει επίσης στο Erbium, ένα άλλο κακόβουλο λογισμικό κλοπής δεδομένων με παρόμοιο μοντέλο κακόβουλου λογισμικού ως υπηρεσία με το Mars Stealer, είπε ο Μοχάμεντ.

Schreibe einen Kommentar