Napad na Windows preko Internet Explorer pretraživača

Kineska sigurnosna kompanija Qihoo 360 Core Security je otkrila 0-day sigurnosni propust u Internet Explorer pretraživaču, koji omogućava  napad preko Office dokumenta. Takođe, Qihoo 360 Core Security upozorava da se ovaj propust već koristi u napadima na uređaje sa Windows operativinim sistemima.

Posebno pripremljen Office dokument od strane sajber kriminalaca koristi 0-day ranjivost nazvanu „double kill“ za napad na Internet Explorer i aplikacije koje koriste IE kernel, tako da korisnici ne moraju koristiti Internet Explorer da bi bili kompromitovani. Distribucija dokumenta se vrši preko elektronske pošte i drugih medija na internetu sa ciljem da se korisnik prevari i otvori dokument. Kada se dokument otvori, pokreće se preuzimanje zlonamjernog sadržaja sa udaljenog servera. U završnoj fazi napada, koristi se tehnika zaobilaženja User Account Control (UAC) mehanizma, tehnika fajl stenografije i tehnika učitavanja fajla u RAM memoriju kako bi se izbjeglo otkrivanje fajla i zaobišla kontrola internet saobraćaja.

Kompanija Qihoo 360 Core Security je prijavila ovaj propust kompaniji Microsoft, ali još uvijek nema ažuriranja za ovaj propust. Microsoft planira da isporuči novi paket sigurnosnog ažuriranja početkom maja, ali ukoliko dođe do povećanog broja napada koji koriste ovaj propust, ažuriranje bi moglo da se pojavi i ranije. Trenutno izgleda da su pogođene sve verzije Internet Explorer pretraživača, na svim verzijama operativnog sistema Windows i svim verzijama Office paketa.

KAKO SE ZAŠTITI:

1. Korisnicima se savjetuje da ne otvaraju sumnjivu elektronsku poštu i priloge, kao i ne očekivanu elektorsku poštu i priloge.

2. Ne preuzimati Office dokumente na internetu iz ne provjerenih izvora.

3. Koristiti provjereno anti-virusno rješenje i redovno ga ažurirati.

4. Uvijek imati ažuriran operativni sistem i prateći softver.

INFEKCIJA UREĐAJA:

Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, isključite ga sa mreže (sa kabla ili WiFi-a) i ugasite uređaj. Nakon toga kontaktirajte najbliži servis i informišite se o narednom koraku.

Lažna ažuriranja Internet pretraživača

Poznato je da hakeri iskorištavaju sigurnosne propuste na hiljadama internet stranica od decembra 2017. godine i na taj način pokreću zlonamjerne kampanje. Bezbjednosni istraživač Džerom Segura iz kompanije Malwarebytes je otkrio novu kampanju širenja zlonamjernog softvera, gdje hakeri koriste hakovane internet stranice da bi preusmjerili korisnike na stranice na kojima ih čeka obavještenje da trebaju da preuzmu lažna softverska ažuriranja kako bi korisnike računara inficirali malverom.

Kampanja je od strane istraživača nazvana "FakeUpdates", jer se korisnicima nude lažna ažuriranja sa ciljem infekcije malverom. Najčešća lažna ažuriranja su za internet pretraživače Google Chrome, Mozilla Firefox, a kada je u pitanju Internet Explorer tada se nudi instalacija Adobe Flash za ovaj internet pretraživač. Na slikama ispod se mogu vidjeti primjere lažnih ažuriranja:

 

 

  

Sajber kriminalci koji stoje iza ove kampanje koriste hakovane sajatove sa platformama WordPress, Joomla i Squarespace, ali koriste i druge CMS platforme. Prilikom posjete hakovanoj stranici, korisnik se preusmjera do stranica na kojima su hakeri postavili pakete sa lažnim ažuriranjima. Korisnici koji bi bili prevareni, nisu preuzimali EXE fajl, već JS skriptu čije bi pokretanje pokrenulo preuzimanje i instalaciju payload malvera.

Ova kampanja vrši distribuciju dva malvera. U prvom slučaju dolazi do preuzimanja bankarskog malvera Chtonic, koji je varijanta malvera ZeusVM. Ovaj malver je digitalno potpisan što otežava detekciju i opremljen je raznim tehnikama izbjegavanja anti-virusnih rješenja da bi izbjegao sandbox okruženja.

U drugom slučaju dolazi do preuzimanja NetSupport Remote Access Tool, komercijalni trojanc, koji omogućava daljinski pristup inficiranom uređaju. Ovaj RAT alat koristi razne tehnike skrivanja koje mu omogućavaju razne zlonamjerne upotrebe (transfer podataka, remote Desktop i sl.)

Da ovo nije naivan napad govori i činjenica da su u ovu kampanju uključeni i dodatni mehanizmi zaštite. Java skripta vrši profiliranje inficiranog uređaja prikupljajući razne informacije (BIOS, proizvođač, arhitektura, MAC adresa, procesi, virtualno okruženje ili   sandbox okruženje) čime se izbjegava pokretanje malvera na uređaju sigurnosnog istraživača i njegova analiza. Krivica za ovu kampanju dijelom ide i ka administratorima stranica zbog loše zaštite istih. Administratori koji održavaju stranice treba prioritetno ažuriraju CMS i dodatke (plugins i add-ons) i da budu sigurni da su sve konfigurisali kako treba.

KAKO SE ZAŠTITI:

1. Koristiti provjereno anti-virusno rješenje.

2. Ažurirati aplikacije isključivo sa stranica proizvođača softvera.

3. Onemogućiti JavaScript tamo gdje nema potrebe da se koristi.

4. Firewall treba biti stalno uključen i pravilno podešen.

INFEKCIJA UREĐAJA:

Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, isključite ga sa mreže (sa kabla ili WiFi-a) i ugasite uređaj. Nakon toga kontaktirajte najbliži servis i informišite se o narednom koraku.