Azjatyckie i afrykańskie banki celem cyberataków z użyciem luki dnia zerowego
Eksperci z Kaspersky Lab wykryli ataki, w których wykorzystano szkodliwy program infekujący systemy poprzez niezałataną lukę w zabezpieczeniach edytora tekstowego InPage (tzw. exploit dnia zerowego).
InPage to pakiet oprogramowania wykorzystywany przez osoby posługujące się językiem arabskim i urdu oraz organizacje na całym świecie. Szkodliwy program został wykorzystany w atakach na banki w kilku państwach azjatyckich i afrykańskich.
InPage jest powszechnie wykorzystywany przez media i drukarnie, jak również instytucje rządowe i finansowe, takie jak banki, które mają do czynienia z tekstem w piśmie persko-arabskim. Według strony internetowej producenta InPage oprócz Indii i Pakistanu, gdzie oprogramowanie to jest szczególnie popularne, ma ono również tysiące użytkowników w innych państwach, takich jak Wielka Brytania, Stany Zjednoczone, Kanada, w kilku państwach z Unii Europejskiej, Afryki Południowej, w Bangladeszu, Japonii oraz innych krajach. Łączna liczba użytkowników oprogramowania InPage wynosi prawie 2 miliony na całym świecie.
Zaatakowane organizacje zidentyfikowane przez badaczy z Kaspersky Lab są zlokalizowane w Birmie, Sri Lance oraz Ugandzie.
Szkodliwy program jest dostarczany do ofiary za pośrednictwem phishingowej wiadomości e-mail z załączonym zainfekowanym dokumentem. Po skutecznym wykorzystaniu luki szkodnik melduje się na serwerze kontrolowanym przez cyberprzestępców, a następnie pobiera legalne narzędzia zdalnego dostępu. W niektórych przypadkach pobiera szkodliwe oprogramowanie oparte na kodzie źródłowym niesławnego trojana bankowego ZeuS. Ten wachlarz narzędzi jest typowy dla cyberprzestępców finansowych.
Dokładny zestaw szkodliwych instrumentów pobieranych na zainfekowaną maszynę różni się w zależności od ofiary — podobnie jak serwery kontroli, z których pobierane są te narzędzia.
Ataki ukierunkowane na ofiary posługujące się określonym językiem
Nie jest to pierwszy taki przypadek, gdy specyficzne „lokalne" oprogramowanie jest wykorzystywane do infekowania ofiar w cyberataku. W 2013 r. badacze z Kaspersky Lab zaobserwowali podobne taktyki w atakach powiązanych z kampanią Icefog. Cyberprzestępcy wykorzystali zainfekowane dokumenty HWP obsługiwane przez Hangul Word Processor, program do edycji tekstu powszechnie wykorzystywany w Korei Południowej.
„Wykorzystywanie luk w określonym oprogramowaniu, które nie jest szeroko rozpowszechnione na świecie i posiada bardzo wąską grupę docelową, jest zrozumiałą taktyką. Przestępcy dostosowują taktyki do zachowania swojego celu, tworząc szkodliwe programy atakujące poprzez błędy w niszowym oprogramowaniu, które nie zawsze jest tak dobrze zabezpieczone jak popularne produkty dużych firm. Ponieważ oprogramowanie lokalne nie jest powszechnym celem twórców exploitów, producenci takich programów nie reagują zbyt szybko na zgłoszenia luk w zabezpieczeniach, przez co szkodliwe narzędzia mogą być wykorzystywane przez długi czas" — powiedział Denis Legezo, ekspert ds. bezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.
Użytkownicy rozwiązań firmy Kaspersky Lab, dzięki zastosowaniu w nich szerokiego wachlarza technologii proaktywnych, są chronieni przed opisywanym atakiem już od pewnego czasu — ochrona dobrze poradziła sobie z zablokowaniem wielu zainfekowanych dokumentów InPage. Produkty Kaspersky Lab skutecznie wykrywają exploita InPage jako: HEUR:Exploit.Win32.Generic.
Badacze z Kaspersky Lab nie wiedzą jak dotąd o żadnym incydencie, w którym doszło do kradzieży pieniędzy w wyniku infekcji przy użyciu exploita dla programu InPage. Nie oznacza to jednak, że takie ataki nie mają miejsca. Dlatego specjaliści ds. bezpieczeństwa zalecają organizacjom finansowym, aby sprawdziły swoje systemy pod kątem tego typu zagrożeń i stosowały się do następujących zasad bezpieczeństwa:
· Należy zaopatrzyć firmę w pakiet bezpieczeństwa internetowego, który potrafi wykrywać nieznane szkodliwe programy atakujące poprzez luki w zabezpieczeniach. Przykładem może być Kaspersky Endpoint Security for Business wyposażony w technologię „Automatyczne zapobieganie exploitom”.
· Należy poinstruować personel, aby nie otwierał załączników ani nie klikał adresów URL w wiadomościach e-mail przychodzących z nieznanych i niezaufanych źródeł.
· Należy stosować w firmie najnowsze wersje oprogramowania na wszystkich punktach końcowych oraz unikać korzystania z oprogramowania, które zawiera znane luki.
· Warto rozważyć skorzystanie z profesjonalnej usługi analizy zagrożeń, takiej jak opracowywane przez Kaspersky Lab raporty dotyczące ataków APT, aby mieć natychmiastowy dostęp do praktycznych informacji dotyczących najnowszych cyberataków, które mogą stanowić zagrożenie dla firmy.
· Należy zapoznać personel z tematem cyberbezpieczeństwa poprzez wdrożenie systemu szkoleń, które pozwolą każdemu pracownikowi rozpoznać podejrzane wiadomości e-mail lub odnośniki do zasobów online i przyczynić się do udaremnienia ataku już we wczesnym stadium.
Szczegóły techniczne na temat ataków ukierunkowanych wykorzystujących lukę dnia zerowego w oprogramowaniu InPage są dostępne na stronie https://kas.pr/6sXn.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.