Dvojice hackerů si za měsíc a půl vydělala přes 100 000 Kč prodejem hackerského nástroje APOMacroSploit
Zpět na blogDo kampaně je zapojeno přibližně 40 různých útočníků a při útocích využívají 100 různých e-mailových adres. Check Point zachytil útoky ve více než 30 zemích, včetně České republiky.
Bližší analýza ukázala, že tento nástroj obsahuje funkce, pomocí kterých se vyhne detekci Windows Defenderem. Nástroj je navíc denně aktualizován, aby se vyhnul dalším detekčním mechanismům. Check Point rozkryl pozadí hrozby i skutečnou identitu jednoho z útočníků. Informace byly sdíleny s příslušnými orgány činnými v trestním řízení.
Oběť je infikována malwarem, jakmile uživatel povolí dynamický obsah XLS dokumentu přiloženého ve škodlivém e-mailu a XLM makro automaticky začne stahovat systémový příkazový skript pro Windows.
Vzhledem k ceně útočného nástroje a počtu útoků lze odhadovat, že dva hlavní kyberzločinci si vydělali minimálně 5 000 dolarů za 1,5 měsíce pouhým prodejem produktu APOMacroSploit.
Výzkumný tým sledoval související útoky a analyzoval RAT (Remote Access Trojan) malware používaný v rámci kampaně ke vzdálené kontrole zařízení obětí a krádeži informací.
Škodlivý dokument
Na začátku útoku byl použit škodlivý XLS dokument se zamaskovaným XLM makrem nazvaným Macro 4.0. Makro se spustí automaticky, když oběť otevře dokument a stáhne soubor BAT z domény cutt[.]ly. Spuštění příkazu „attrib“ umožňuje skrýt skript BAT v zařízení oběti.
V této fázi útoku udělali útočníci ale zásadní chybu. Doména cutt[.]ly přímo přesměrovává na server pro stahování a neprovádí požadavek na backend.
U každého souboru byla do názvu vložena přezdívka zákazníka. Zombie99, zmíněný také v názvu souboru, je přezdívka jednoho z útočníků. Bylo tak možné získat seznam přezdívek všech zákazníků a také kyberzločinců.
APOMacroSploit
Při hledání uživatelských jmen zmíněných v názvech souborů BAT našel Check Point reklamu na malware builder s názvem APOMacroSploit. Jedná se o nástroj, který uživateli umožňuje vytvořit XLS soubor, který se vyhne detekci antivirem a dalším bezpečnostním kontrolám.
APOMacroSploit umí také na počítači oběti deaktivovat a upravit Windows Defender, aby bylo snazší spustit škodlivý obsah.
Na HackForums.net prodávají APOMacroSploit dva uživatelé: Apocaliptique (Apo) a Nitrix.
Check Point objevil také kanál Discordu, ve kterém Nitrix vystupuje jako vývojář nástroje a Apo jako administrátor. Nitrix i Apocaliptique tam nabízí svým zákazníkům pomoc s použitím nástroje.
Hackeři nejen prodali své útočné nástroje, ale také se podíleli na tvorbě a hostování škodlivých kódů. Apocaliptique používá k propagaci nástroje a jeho funkcí i youtube kanál Apo Bypass.
Zdroj: Check Point
4. 3. 2021