Hackeri z TA558 tvrdo udreli v našom regióne. Pozor, pripraviť vás môžu o údaje z vášho zariadenia!
Hackerská skupina TA558, ktorá bola dlho aktívnou za ďalekou mlákou, udrela najnovšie aj v našich končinách. Cez podvodné e-maily šíria nebezpečný spyware.
Bezpečnostní experti z Positive Technologies odhalili masívnu hackerskú kampaň, ktorá útočí na krajiny po celom svete. Do dnešného dňa odhalili viac ako 300 útokov, za ktorými stojí známa skupina TA558.
Túto hackerskú skupinu motivuje primárne finančný zisk. Doteraz útočili na turistické a ubytovacie organizácie v Južnej Amerike, no v rámci novej kampane rozšírili pôsobnosť aj do Severnej Ameriky a Západnej Európy. Hackeri dokonca udreli viackrát aj v našom susedstve. Napríklad v Českej republike, Poľsku a nie je vylúčené, že sú aktívny aj u nás. Bezpečnostní experti vysvetľujú, že skupina existuje najmenej od roku 2018.
Hackerská skupina je špecifická útokmi, počas ktorých používa súbory s milostnou tematikou v názve. Aj preto analytici pomenovali novú kampaň “SteganoAmor”. Hoci skupina útočí po celom svete, stále sa drží útokov na ekonomický sektor. Počas útokov používali niekoľko rôznych druhov malvéru, pričom v ich zozname sa objavili aj známe mená ako Guloader, AgentTesla, FormBook a iné.
Bezpečnostní experti objavili záznamy, v ktorých našli ukradnuté dáta obetí. Medzi nimi sa nachádzali dáta bežných užívateľov, verejných inštitúcií a rôznych podnikov. Vedci popritom objavili aj stovky škodlivých súborov a desiatky falošných IP adries, ktoré hackeri v rámci kampane používali. Niektoré súbory boli dokumenty s rôznymi názvami.
Gro útokov zahŕňalo malvér AgentTesla a použitie škodlivého Excel dokumentu. Názvy dokumentu sa líšili od krajiny útoku, no po otvorení dokument zneužíval slabinu “CVE-2017-11882″. Po otvorení pošle dokument požiadavku na útočníkov server, ktorý odošle odpoveď. Následne sa sťahuje a spúšťa z rovnakej IP adresy VBS skript.
Neprehliadnite
Hackerská skupina útočí prostredníctvom niekoľkých odlišných malvérov
Po načítaní skriptu sa sťahuje a dekóduje škodlivý string, ktorý sa nachádza vložený v obrázku. Po stiahnutí škodlivého obrázku sa spúšťa ďalší škodlivý skript a nakoniec sa do zariadenia stiahne a následne sa spustí malvér AgentTesla. Ide o infostealer, čiže tento malvér kradne dáta z prehliadačov, e-mailových klientov, súbory a všetko posiela na server útočníka.
Druhým spôsobom, ako hackeri dostanú AgentTesla do vášho zariadenia je cez škodlivý Word Dokument.
Okrem malvéru AgentTesla používa hackerská skupina aj Remcos, čo je takzvaný Remote Access Trojan. Ide o malvér, ktorý útočníkom umožňuje na diaľku získať kontrolu nad vašim zariadením. Zaujímavosťou je, že Remcos bol kedysi legitímnym softvérom, no teraz sa používa primárne rôznymi hackerskými skupinami.
Hackeri sa cez falošné Excel alebo Word súbory pokúšajú do zariadení obetí dostať aj keylogger, čo je malvér na zachytávanie stlačení klávesnice. Touto cestou môžu napríklad získať heslá alebo iné citlivé údaje obetí.
Bezpečnostní experti radia užívateľom, aby v blízkej budúcnosti vykazovali väčšiu opatrnosť, ak dostanú do schránky e-maily s prílohami. Obzvlášť opatrní buďte, ak vám príde mail, ktorý sa tvári ako od vládnej organizácie. V prípade nevyžiadanej správy na e-mail nereagujte a prílohu neotvárajte. V prípade pochybností radšej kontaktujte inštitúciu cez oficiálnu infolinku .
Komentáre