Sigurnosni
istraživači iz kompanije ESET su
otkrili aktivnu kampanju širenja backdoor
i RAT (remote access trojan) zlonamjernog softvera na području Hrvatske,
Srbije, Crne Gore i Bosne i Hercegovine.
Ono na šta je potrebno obratiti pažnju u
izvještaju iz kompanije ESET su dva
alata za širenje ove kampanje respektivno nazvani BalkanDoor (backdoor zlonamjerni softver) i BalkanRAT (remote
access trojan - RAT) i njihovu uspješnost. Napad na korisnike se odvija
na temu poreza preko elektronske pošte sa linkovima i PDF dokumentima, a cilj su finansijske službe na Balkanu. Zanimljivo
je da zlonamjerni softver koji se koristi u ovoj kampanji koristi nekoliko
digitalno potpisanih certifikata koji su plaćeni od strane napadača čime se
povećavaju šanse za uspjeh napada.
Napad na korisnike se odvija preko elektronske
pošte koristeći lažne linkove koji vode ka lažnim stranicama koje izgledaju kao
prave stranice državnih institucija – više na slici ispod.
Kada se otvori lažna stranica korisniku se nudi
izvršni fajl, WinRAR ekstraktor sa
ikonom koja asocira na PDF fajlove. Napadači
koriste ranjivost
CVE-2018-20250 u aplikaciji WinRAR koja je ispravljena u verziji
WinRAR 5.70 dostupnoj od kraja februara
ove godine. Kada se dokument pokrene, otvara se PDF dokument da se kod korisnika ne bi izazvala sumnja, dok se u
pozadini pokreće ili BalkanDoor ili BalkanRAT zlonamjerni softver. Na slikama
ispod su trenutno nazivi dokumenata koji se koriste u ovoj kampanji, kao i
izgled nekih od dokumenata.
Na korisničkom uređaju u većini slučajeva
dolazi do instalacije oba zlonamjerna softvera. Napadač nakon instalacije može
da zna kada je uređaj zaključan, odnosno korisnik odsutan. Oba zlonamjerna
softvera imaju ovu mogućnost uz manje razlike, a dalje mogu da ili otključaju
uređaj (BalkanDoor) ili napadaču
omoguće popunu kontrolu uređaja (BalkanRAT).
BalkanRAT napadaču daje i mogućnost
instalacije alata za detekciju pametnih kartica koje izdaju banke ili vlade za
potvrdu identiteta korisnika preko ScardListReadersA/SCardConnectA
API funkcija, što može dovesti do zloupotrebe istih. Oba zlonamjerna
softvera mogu se koristiti i za špijunažu, ali sigurnosni istraživači su
zaključili po ponašajnu napadača, da su trenutni motivi finansijske prirode.
Kampanja je prvi put otkrivena u januaru 2016.
godine uz povećanje aktivnosti od jula 2019. godine kako kažu u kompaniji ESET. U Srbiji je skrenuta pažnja
na ovo 2016. godine, a u Hrvatskoj
2017. godine. Međutim, fokus je bio samo na jednom od dva zlonamjerna
softvera i na jednoj državi. Sigurnosni istraživači iz kompaniji ESET su našli povezanost između napada i
taktika koje se koriste, kao i dugoročnu i ciljanu namjeru na području Balkana
sa konstantnim unapređivanjem napada na korisnike.
KAKO SE ZAŠTITI:
1. Uvijek biti oprezan sa linkovima ili dokumentima
u prilogu elektronske pošte od nepoznatih pošiljalaca. Ako je elektronska pošta
od poznatog pošiljaoca, a dokument nije očekivan kontaktirati pošiljaoca i
provjeriti da li je on poslao dokument ili je njegova adresa elektronske pošte
možda kompromitovana.
2. Redovno ažurirati operativni sistem i
prateći softver.
3. Koristiti provjereno Anti-virusno
rješenje.
INFEKCIJA UREĐAJA:
Ukoliko utvrdite ili sumnjate da vam je
uređaj zaražen, isključite ga sa mreže (sa kabla ili WiFi-a) i respektivno ugasite uređaj. Nakon toga kontaktirajte
servis i informišite se o narednom koraku.
