Egy új, kifejezetten kifinomult adatlopási kampány keretében a támadók hamis önéletrajzok (CV-k) segítségével jutnak be vállalati rendszerekbe, ahol kriptobányászatot és adathalászatot (phishing) indítanak. A módszer különösen veszélyes, mert egyszerre célozza a humán gyengeségeket (például a HR-folyamatokat) és a technikai védelmeket, ráadásul mindezt villámgyorsan – másodpercek – alatt.
Bár a támadók elsődleges célpontjai a francia nyelvű vállalatok, az eset rámutat az ilyen típusú, többlépcsős kibertámadások veszélyeire: nem ismernek földrajzi vagy nyelvi határokat, és szigorú biztonsági intézkedések hiányában gyakorlatilag bármely szervezet könnyen hasonló helyzetben találhatja magát.
A támadók látszólag ártalmatlan önéletrajzokat tartalmazó adathalász e-maileket küldenek, amik valójában erősen elrejtett (elhomályosított, obfuszkált) VBScript fájlok. Amikor ezt a felhasználó megnyitja, egy kamu hibaüzenet jelenik meg, amiből arra következtethet, hogy a fájl egyszerűen sérült.
A színfalak mögött azonban teljesen más folyamatok zajlanak: a kód WMI (Windows Management Instrumentation) segítségével ellenőrzi, hogy vállalati környezetben fut-e, majd megpróbál adminisztrátori jogosultságokat szerezni. Ha ez sikerül, a támadók gyakorlatilag szabad kezet kapnak. Fontos, hogy a kártevő kifejezetten céges gépeken aktiválódik, vagyis csak ott csapnak le, ahol valódi pénzügyi vagy adatérték van – otthoni felhasználókra nem „pazarolják” az erőforrásaikat.
Kibertámadások által leggyakrabban érintett szektorok | PowerDMARC
A FAUX#ELEVATE néven azonosított kampány egyik legveszélyesebb eleme, hogy többféle monetizációs módszert ötvözve képes ellopni a böngészőkben tárolt jelszavakat és egyéb érzékeny adatokat, miközben kriptobányászt telepít az áldozat gépére. A célpont az anonimitása miatt illegális bányászatra gyakran használt Monero (XMR). A fertőzött gép erőforrásait így a támadók sokszor a felhasználó tudta nélkül, hosszú időn keresztül profittermelésre használják – még ha az egyik bevételi forrás ki is esik, a másik tovább működik.
A hackerek mindezt legitim, teljesen hétköznapi szolgáltatásokkal álcázva hajtják végre: a kártékony fájlokat például felhőszolgáltatáson keresztül töltik le, míg a vezérlési infrastruktúra kompromittált (feltört, rosszindulatú kóddal [malware] fertőzött, korábban biztonságos) weboldalakon fut. Ez a klasszikus living-off-the-land (LotL) kibertámadás, amiben a hackerek a rendszerben már meglévő, legitim eszközöket használják a behatolásra. Így nehezebb őket észrevenni, amire a hagyományos vírusirtók és biztonsági rendszerek is gyakran csak akkor reagálnak, amikor már késő.
Kibertámadások világszerte, típusonként | PowerDMARC
Ráadásul mindez futótűzként terjed: a teljes fertőzési lánc akár 25 másodperc alatt lefuthat, ami gyakorlatilag nem hagy időt a felhasználói beavatkozásra vagy a rendszerek automatikus reakciójára. Amikor a támadás célba ér (ellopták és kiszivárogtatták a hitelesítő adatokat, telepítették a kriptobányászt), a hackerek nagytakarítanak: a kártevő a Microsoft Defenderben kizárási útvonalakat állít be, kikapcsolja a felugró jogosultság-ellenőrzést (UAC), majd eltünteti önmagát. A legtöbb nyomot így eltávolítják, és csak a legfontosabb komponenseket hagyják hátra, ami jelentősen korlátozza az utólagos vizsgálatot és a bizonyítékgyűjtést.
A kampány technikailag kétségkívül fejlett, azonban a csalók „zsenialitásán” túl kritikus védelmi hiányosságokra is szükségük van a sikerhez. A valóságban ugyanis ezek a támadások sokszor az alapvető biztonsági hiányosságokat aknázzák ki, például a felhasználók túlzott jogosultságait, a gyenge e-mail-szűrést, a nem megfelelő végpontvédelmet, valamint a HR- és adminisztratív területeken tapasztalható alacsony biztonságtudatosságot – egy jól konfigurált rendszerben például egy ismeretlen VBScript fájl futtatásának már önmagában gyanút kellene keltenie.
Bár elsőre „csak” egy vállalati kibertámadásnak tűnik, az effajta kampányok közvetve a kriptoszektorra is hatással vannak. Az illegális kriptobányászat rontja az iparág megítélését, és erősíti azt a narratívát, miszerint a kriptovaluták a kiberbűnözés eszközei – még ha a valós probléma nem is a technológia, hanem annak rosszindulatú felhasználása. Ugyanakkor az iparágnak is érdeke, hogy aktívan fellépjen az ilyen visszaélések ellen – például oktatás és jobb biztonsági gyakorlatok terjesztésével.
Az adatlopás és a kriptobányászat kombinálása különösen jövedelmező a támadók számára, a hamis önéletrajzokra épülő támadási kampány pedig jól mutatja, hogyan válnak a kibertámadások egyre inkább komplex, többlépcsős műveletekké. A technológiai védelmen túl ma már a felhasználói tudatosság, a szigorú jogosultságkezelés és a proaktív biztonsági stratégia nem opcionális, hanem alapkövetelmény.
Megjelent a BitcoinBázis oldalon.
