Cybuloviny 19/24

/ APT, Cybuloviny, Kybernetické útoky, Malware, Mobilní zařízení, Týdenní přehled

V 19. vydání Cybulovin prozkoumáme, jak severokorejské skupiny šíří nový malware zaměřený na uživatele macOS, odhalíme podrobnosti o phishingových kampaních cílících na mobilní bankovní aplikace, včetně aplikace české ČSOB a nakonec zjistíme, jak íránská skupina Storm-2035 zneužívá ChatGPT k vlastním účelům.

Příjemné čtení.

Tým Cybule

Obsah:

  • Severokorejské skupiny používají nový malware pro macOS
  • Phishingová kampaň zaměřená na mobilní zařízení cílí na klienty bank, včetně české ČSOB
  • Íránská skupina Storm – 2035 zneužila ChatGPT k ovlivňování amerických voličů

Severokorejské skupiny používají nový malware pro macOS

(16.8.2024, The Hacker News)

Výzkumníci společnosti Kandji, která se specializuje na bezpečnost Apple zařízení, identifikovali nový dropper malware (slouží k úmístění sekundárního malwaru na systém obětí) pro macOS a pojmenovali ho TodoSwift. Nový malware vykazuje podobnost s nástroji, které používá nejznámější severokorejská skupina Lazarus (a její podskupina BlueNoroff). Konkrétně se TodoSwift vyznačuje podobným chováním jako nástroje z arzenálu Lazarus/BlueNoroff známé jako KANDYKORN a RustBucket. TodoSwift využívá vícestupňový proces infekce, který začíná zdánlivě legitimní grafickou aplikací TodoTasks. Tato aplikace zobrazuje infikovaný PDF dokument s tématikou kryptoměn a po jeho otevření dochází ke stažení sekundárního malwaru. Kandji stále zkoumá plnou funkčnost sekundárního malwaru.

Co potřebujete vědět:
  • TodoSwift využívá úložiště Google Drive pro hostování a stahování dalších komponent, což zvyšuje jeho důvěryhodnost a ztěžuje detekci, protože uživatelé často považují Google Drive za bezpečný.
  • Malware se zaměřuje na uživatele se zájmem o kryptoměny, což ukazuje na finanční motivaci útočníků.
  • Lazarus Group, také známá jako APT38, je pravděpodobně součástí Reconnaissance General Bureau (RGB, 정찰총국), které je hlavní zpravodajskou službou KLDR pro zvláštní operace. Skupina byla poprvé identifikována v roce 2009 a od té doby byla spojována s mnoha významnými kybernetickými incidenty, včetně útoku na Sony Pictures (2014), hack Bangladéšské centrální banky (2016) a ransomwarového útoku WannaCry (2017).
  • Severokorejští aktéři v posledních několika letech investují prostředky do vývoje specializovaného malwaru pro MacOS, jak je zřejmé z propojení TodoSwift s dřívějšími nástroji, jako jsou KANDYKORN a RustBucket.
  • Úsilí severokorejských skupin je v souladu s rostoucím trendem útoku na operační systém macOS. Bezpečností společnost Intel471 ve své analýze uvádí, že pozorovala více než 40 aktérů útočících na macOS jen v období od ledna 2023 do července 2024.

Komentář Cybule: Finančně motivované útoky jsou obvykle doménou kyberkriminálních aktérů, byť často tolerovaných vládami zemí, jako je Rusko. Severní Korea je v tomto směru specifickým státním aktérem, který je z důvodů rozsáhlých sankcí, motivovaný k získání finančních prostředků s pomocí nelegálních aktivit. V minulosti byla DPRK velmi aktivní např. v pašování opia a metamfetaminu. Kyberprostor Pchjongjangu nabízí schopnost popření a otevírá možnosti získat finanční prostředky z různých zdrojů, které by jinak nebyly dostupné. Útoky KLDR aktérů na směnárny a burzy kryptoměn jsou poměrně častám jevem. Zpráva OSN z března 2024 odhaduje, že v období 2017-2023, získala KLDR až 3 miliardy USD prostřednictvím finančně motivovaných kybernetických útoků.

Phishingová kampaň zaměřená na mobilní zařízení cílí na klienty bank, včetně české ČSOB

(20.8.2024,ESET)

Společnost ESET odhalila nárůst phishingových kampaní zaměřených na mobilní uživatele, při kterých útočníci využívají tři různé metody doručení: automatizované hlasové hovory, SMS zprávy a malvertising na sociálních sítích. Tyto kampaně se zaměřují na instalaci podvodných progresivních webových aplikací (PWA) s cílem obejít bezpečnostní opatření a získat přihlašovací údaje k bankovním účtům. Útočníci se zaměřili na banky, včetně české ČSOB, maďarské OTP a gruzínské TBC Bank.

Co potřebujete vědět:
  • Phishingová kampaň, odhalená analytiky společnosti ESET, cílí na mobilní uživatele a využívá různé metody k průniku do jejich zařízení. Útočníci používají automatizované hlasové hovory, které upozorňují uživatele na zastaralou bankovní aplikaci a instruují je ke stisknutí tlačítka na klávesnici. Tímto krokem je obětem prostřednictvím SMS doručena podvodná URL směřující na phishingovou stránku, která se tváří jako oficiální web banky.
  • Další metodou je malvertising na sociálních sítích Instagram a Facebook. Reklamy nabízejí časově omezenou nabídku pro uživatele, kteří si stáhnou podvrženou aplikaci. V případě české ČSOB malvertising využívá kombinaci oficiálního maskota banky (modrého chameleona), loga banky a textu, který slibuje finanční odměnu po instalaci aplikace nebo upozorňuje uživatele, že byla vydána kritická aktualizace.
  • Tato technika umožnila útočníkům cílit reklamy podle věku, pohlaví a dalších demografických údajů, což zajistilo, že se reklamy zobrazovaly ve feedu odpovídajících uživatelů na sociálních sítích. Po kliknutí na reklamu se uživateli zobrazila phishingová stránka, která věrně napodobovala Google Play a nabízela stažení škodlivé aplikace. Na zařízeních s Androidem byla obětem nabízena instalace WebAPK, zatímco na iOS i Androidu možnost instalace PWA.
  • Web zároveň kontroloval pomocí hlavičky HTTP User-Agent, zda oběť používá mobilní zařízení. Pokud oběť skutečně používala mobilní zařízení, tlačítko „Instalovat“ vyvolalo vyskakovací okno s výzvou k instalaci. Pokud však User-Agent hlavička indikovala počítač, tlačítko instalace nereagovalo. Výzva také napodobovala animace Google Play, což dále zvyšovalo věrohodnost kampaně.

PWA phishing flow (ESET)

  • PWA jsou aplikace vytvořené pomocí tradičních webových technologií, které mohou fungovat na různých platformách a zařízeních. Tyto aplikace se instalují do mobilního telefonu uživatele poté, co se automaticky zobrazí vyskakovací okno s výzvou k instalaci, nebo uživatel manuálně zvolí možnost „Instalovat aplikaci“ v nabídce podporovaného prohlížeče. Po instalaci jsou PWA na domovské obrazovce odlišeny tím, že na ikonu PWA je překryto logo prohlížeče uživatele.

Ikona PWA aplikace (ESET)

  • Po instalaci jsou oběti vyzvány k zadání svých přihlašovacích údajů k internetovému bankovnictví pro přístup ke svému účtu prostřednictvím nové mobilní bankovní aplikace. Veškeré zadané údaje jsou následně odesílány na C2 servery útočníků.

Komentář Cybule: Kampaň šetřená společností ESET vyniká nejen svou sofistikovaností, ale také kombinací různých metod doručení škodlivého kódu. Jednou z hlavních předností PWA je možnost vytvořit jednu verzi aplikace, která funguje na různých zařízeních a platformách. Díky technologii WebAssembly mohou PWA využívat moderní funkce webových prohlížečů a dokonce spouštět části kódu přímo v zařízení, což zlepšuje jejich výkon. Navíc, PWA aplikace mohou fungovat i bez připojení k internetu díky tzv. service workers, kteří slouží jako prostředníci mezi aplikacemi a internetem. Pokud není dostupné připojení, načítají data uložená v místní paměti zařízení, což umožňuje aplikacím nadále fungovat.

Íránská skupina Storm-2035 zneužila ChatGPT k ovlivňování amerických voličů

(16.8.2024,OpenAI )

Společnost OpenAI nedávno podnikla rázné kroky a ukončila íránskou vlivovou operaci skupiny Storm-2035, která využívala ChatGPT k vytváření zavádějícího obsahu souvisejícího s volbami. OpenAI při svém jednání vycházela ze zprávy společnosti Microsoft Threat Intelligence. Cílem vlivové operace nebylo nutně prosazovat konkrétní politiku, ale vyvolat neshody a rozdělení mezi americkými voliči.

Co potřebujete vědět:
  • Storm-2035 využila ChatGPT k sepsání článků a příspěvků na sociálních sítích, které měly vyvolat politické napětí.  GEN AI byla použita k vytváření názvů článků, klíčových slov a k automatickému přeformulování ukradeného obsahu takovým způsobem, aby zvýšila návštěvnost jejich webů ve vyhledávačích a zároveň zamlžila původní zdroj obsahu.
  • Skupina například vytvořila články s nepravdivými tvrzeními, jako je obvinění, že platforma X Elona Muska cenzuruje Trumpovy tweety, což je prokazatelně nepravdivé tvrzení. Tyto články vytvořené umělou inteligencí pak byly zveřejněny na webových stránkách, které měly napodobovat legitimní zpravodajské kanály, doplněné přesvědčivými názvy domén, jako je  EvenpoliticsNio Thinker, Savannah Time,Teorator a Westland Sun.
  • Na sociálních sítích tato operace využívala umělou inteligenci k přepisování a zveřejňování politicky zabarvených komentářů na platformách, jako je X (dříve Twitter) a Instagram. Tyto příspěvky byly vytvořeny tak, aby podněcovaly kontroverzní reakce, přičemž jeden tweet nepravdivě tvrdil, že viceprezidentka Kamala Harrisová přičítá „zvýšené náklady na imigraci“ klimatickým změnám, s doprovodným hashtagem #DumpKamala.
  • Přestože operace využívala umělou inteligenci velmi důmyslně, neměla velký dopad. Společnost OpenAI zaznamenala, že většina článků se setkala s malým nebo žádným zájmem – málo lajků, sdílení nebo komentářů. To naznačuje, že AI sice může rychle a levně vytvářet obsah, ale získání vlivu a důvěryhodnosti zůstává značným problémem.

Komentář Cybule: Skupina Storm-2035 je součástí širší kampaně, která funguje nejméně od roku 2020 a zahrnuje několik zpravodajských webů zaměřených na francouzsky, španělsky, arabsky a anglicky mluvící publikum se sociálním a politickým obsahem. Případ Storm-2035 je dobrým příkladem dvojí povahy AI nástrojů. AI sice nabízí masivní inovační potenciál, ale zároveň představuje nové výzvy, se kterými se společnost musí vypořádat. Využití AI k ovlivňování voleb je jen jedním z příkladů, jak mohou být tyto technologie zneužity. Příklad aktivity Storm-2035 zdůrazňuje potřebu přísných bezpečnostních opatření a etických úvah při vývoji a zavádění AI. Opatření, která přijímá OpenAI a další technologické společnosti, mohou přispět v boji proti dezinformacím vytvářených umělou inteligencí. Přístup, který spočívá v zakazování účtů podle toho, jak jsou objeveny, však nemusí být dlouhodobě udržitelný. S tím, jak se generativní nástroje umělé inteligence stávají sofistikovanějšími, se schopnost vytvářet přesvědčivý falešný obsah bude jen zlepšovat, čímž se ztíží odhalování těchto operací a boj proti nim.

Přejít nahoru