Új Malware Támadások Windows és Mac Felhasználók Ellen
Hackerek malware-t juttattak el Windows és Mac felhasználókhoz, miután kompromittálták egy internet szolgáltató (ISP) infrastruktúráját, és manipulálták a szoftverfrissítéseket, amelyeket biztonságos kapcsolatokon keresztül szállítottak.
A támadásról a Volexity biztonsági cég kutatói számoltak be, akik szerint a támadók routerek és hasonló eszközök hackelésével szerezték meg az irányítást egy ismeretlen ISP felett. A támadók ezután ezt a hatalmat kihasználva mérgezték meg a domain név rendszer válaszait, amelyeket hat különböző Windows vagy macOS alkalmazáshoz használtak.
A károsodott alkalmazások között szerepel a 5KPlayer, a Quick Heal, a Rainmeter, a Partition Wizard, valamint a Corel és a Sogou programjai.
A frissítési mechanizmusok nem használtak TLS-t vagy titkosított aláírásokat a kapcsolatok vagy letöltött szoftverek hitelesítésére, így a támadók képesek voltak sikeresen végrehajtani a gépen belüli (MitM) támadásokat, amelyek a célzott felhasználókat ellenséges szerverekhez irányították a szoftvergyártók helyett. Ezek az irányítások akkor is működtek, amikor a felhasználók nem titkosított nyilvános DNS szolgáltatásokat használtak, mint például a Google 8.8.8.8 vagy a Cloudflare 1.1.1.1.
A Volexity vezérigazgatója, Steven Adair online interjúban kifejtette: “Ez a szórakoztató/félelmetes rész – ez nem az ISP DNS szervereinek feltörése volt. Ez az internetes forgalom hálózati infrastruktúrájának kompromittálása volt.”
Például a 5KPlayer alkalmazás egy nem biztonságos HTTP kapcsolatot használ, hogy ellenőrizze, elérhető-e frissítés. A StormBamboo néven ismert hackercsoport DNS mérgezést használt, hogy egy károsított Youtube.config fájlt juttasson el a felhasználókhoz, amely egy PNG képnek álcázott végrehajtható fájlt töltött le.
A MACMA és a POCOSTICK néven nyilvántartott malware-ek a legújabb fenyegetések közé tartoznak. A MACMA 2021-ben került napvilágra, míg a POCOSTICK legalább 2014 óta aktív. A kutatók megállapították, hogy a malware-t ártalmatlan szoftverek legitim frissítéseivel telepítették.
Végül, a támadók a www.msftconnecttest.com domainek hijackelésével is éltek, amelyet a Microsoft használ arra, hogy ellenőrizze, hogy a Windows eszközök aktívan csatlakoznak-e az internethez.
Érdekes tény: A DNS mérgezés egy elterjedt technika a kiberbűnözők körében, amely lehetővé teszi számukra, hogy hamis válaszokat küldjenek, így a felhasználók a támadók által irányított szerverekhez csatlakoznak.
Források: Volexity, Google Threat Analysis Group