Hackerii pătrund în companii din 40 de țări, folosind un malware ascuns

- Adrian Ungureanu
222

Kaspersky Lab au descoperit o serie de atacuri ascunse cu țintă precisă, care folosesc doar software legitim: teste de intruziune foarte răspândite și instrumente ca PowerShell pentru automatizarea proceselor de lucru în Windows – fără să lase fișiere malware pe hard drive, ci ascunzându-le în memorie.

Băncile, companiile telecom și organizațiile guvernamentale din SUA, America de Sud, Europa și Africa se numără printre principalele ținte, grupurile GCMAN și Carbanak fiind principalii suspecți.

Această abordare din două perspective ajută la evitarea detecției prin tehnologii de “whitelisting” și nu le lasă investigatorilor prea multe mostre de malware sau alte dovezi cu care să lucreze. Atacatorii sunt prezenți doar atâta vreme cât au nevoie să-și strângă informații, înainte să li se șteargă urmele din sistem, la primul restart.

La finalul anului 2016, experții Kaspersky Lab au fost contactați de bănci din CIS care găsiseră programul pentru teste de intruziune, Meterpreter – folosit adesea ca instrument de atac – în memoria serverelor lor, deși nu ar fi trebuit să fie acolo.

Furnizorul de soluţii de securitate IT a descoperit că acest cod Meterpreter a fost folosit împreună cu mai multe script-uri PowerShell legitime și cu alte instrumente. Acestea au fost adaptate și transformate într-un cod malware capabil să se ascundă în memorie, fără să fie văzut, și să colecteze parolele administratorilor de sistem, pentru ca atacatorii să poată controla de la distanță sistemele victimei. Scopul final pare să fie accesarea proceselor financiare.

Kaspersky a dezvăluit că aceste atacuri se întâmplă la scară largă, lovind peste 140 de rețele ale companiilor mari din mai multe domenii de activitate, cele mai multe victime fiind localizate în SUA, Franța, Kenya, Marea Britanie și Rusia. În total, au fost înregistrate infectări în 40 de țări.