Kai per dieną net tris kartus tenka susidurti su „CTRL+V” virusu, manau tai verta atskiro dėmesio ir paaiškinimo kas tai yra. Patyrinėkime kas gi vyksta atlikus visus veiksmus, kuriuos įsilaužėliai nori kad atliktume…

Ctrl+V gali būti laikomas virusu, nes tai yra socialinės inžinerijos ataka, kai vartotojas apgaulės būdu atlieka tam tikrus veiksmus, taip pat kompiuterio užkratas, kai per šią kombinaciją paleidžiamas žalingas failas, užkrečiantis įrenginį. Kaip viskas vyksta? Pažiūrėkime iš arčiau.

Pirma stadija – socialinė inžinerija:

Virusas „vaikšto” pagrinde keliais būdais:

1) Elektroniniu paštu su prisegtu dokumentu.

2) Užkrėstose svetainėse, kuriose įterpiamas žalingas kodas.

3) Taip pat John Hammond atskleidė apie TikTok platformoje plintančius vaizdo įrašus, kuriuose neva mokoma kaip įsirašyti kažką nemokamai ir t.t. Norintiems pažiūrėti John’o analizę – labai rekomenduoju: https://www.youtube.com/watch?v=03FPDBjpsKo

Visais atvejais, vartotojas apgaule įtikinamas atlikti veiksmus, kurie galiausiai užkrečia įrenginį ir vagia jame esančią informaciją.

Vienas iš pavyzdžių – svetainėje įterptas žalingas kodas. Svetainė gali būti žalinga, į kurią vartotoją piktavaliai atvilioja phishing’o būdu. Kitais atvejais, tai gali būti normali veikianti svetainė, į kurią yra įsilaužta ir joje patalpintas žalingas kodas.

Šiuo atveju matome žalingą JavaScript kodą, kuris sukurtas tam, kad paspaudus vieną iš mygtukų, būtų nukopijuotas tekstas su žalinga komanda, kuri vėliau parsiunčia virusą.

Čia matome kai atėjus į svetainę paprašoma patvirtinti esant žmogumi:

Uždėjus varnelę iššoka pranešimas, kad naršyklė negali atlikti veiksmų, reikia dar paspausti „Fix it”:

Paspaudus „Fix it” gauname instrukcijas kaip save patvirtinti esant žmogumi.

Kitas pavyzdys, kuris naudoja visiems gerai žinomą Captcha, kai tenka paspausti I’m not a robot” mygtuką. Tik šiuo atveju tai nėra tikras mygtukas, o piktavalio pateikiama apgaulė. Jį paspaudus, nukopijuojama žalinga komanda ir ekrane pasirodo tos pačios instrukcijos.

Antra stadija – užkratas. Dekonstruokime:

O kas gi vyksta atlikus šiuos veiksmus? Kaip jau minėjau, svetainėje veikia žalingas JavaScript kodas. Paspaudus Mygtuką „Fix it” arba žalingą „I’m not a robot” mygtuką, fone jums to nežinant nukopijuojama tam tikra žalinga komanda:

                                              Pvz 1

                                             Pvz 2

Toliau, atlikus pirmąjį veiksmą ir nuspaudus rodomą kombinaciją ant klaviatūros yra atidaromas Run langas:

Antru žingsniu, nuspaudę kombinaciją CTRL+V įpaste’iname prieš tai mums nežinant nukopijuotą žalingą komandą.

Ir trečiu žingsniu spausdami Enter – ją aktyvuojame.

Ką daro ta komanda?

Komanda paleidžia PowerShell procesą, kuris atsisiunčia failą iš žalingos nuorodos bei išsaugo jį įrenginyje. Po to jis automatiškai paleidžia šį failą. Vykdant šią komandą, PowerShell langas lieka paslėptas ir procesas yra minimizuotas, todėl vartotojas nemato, kas vyksta.

Ir čia jau priklausomai nuo viruso kilmės, virusų autorių, žalingų failų yra įvairių, patalpintų įvairiuose skirtingose užkrėstose (ar specialiai tam sukurtose) svetainėse.

Vienas iš pavyzdžių: https://www.virustotal.com/gui/file/834c9188005bf26824133d80a445266c73dfb222c4a62112a4560e978fb4a491/detection

Kitas pavyzdys: https://www.virustotal.com/gui/file/2c7bd3712dc007f03388d149ae82818816e75fdf82bd1a09c3ae38636c73418f

Visais atvejais virusas turi kelias stadijas ir jei pradžioje yra parsisiunčiamas žalingas failas, toliau tas failas inicijuoja kitas užklausas ir siunčiasi kitas viruso dalis (Stages).

Žemiau matome užkoduotą (AES Encrypted) komandą, kuri suveikia pasileidus pirmam failui.

Ją patyrinėjus ir iškodavus, randame, kad vyksta sekantys kreipiniai į jau kitą domeną ir siunčiamas kitas failas:

Failo plėtinys yra .gif (kaip ir pirmo failo atvejais plėtiniai būna .txt, .m4a, .tro, dar kažkokie nesusiję). Tačiau visa tai yra tik tam, kad apeiti saugos sistemas ir nesukeli jokio įtarimo.

Parsisiuntęs .gif failas savyje talpina labai daug „gražaus” turinio:

Toliau vyksta labai daug žalingų veiksmų sistemoje, pradedant duomenų rinkimu ir baigiant registro pakeitimais bei duomenų eksfiltravimu.

Dauguma atvejų, tokio tipo virusai dažniausiai turi vieną tikslą – pavogti duomenis. Kai kuriais atvejais paleisti Kripto kasimo virusą ar užkoduoti duomenis.

Pagrinde taikomasi į naršyklėse išsaugotus slaptažodžius, taip pat išsaugotus slapukus (angl. Cookies), sesijos tokenus, kurie leidžia labai greitai perimti paskyras.

Kaip matome, nueita iš ties gana toli nuo pirmo taško, kai tiesiog norėjome patvirtinti save esant – žmogumi.

Ne paslaptis, žmonės linkę klysti, tad būtent šį žmogiškąjį patvirtinimo faktorių piktavaliai ir bando išnaudoti.

Būkime budrūs, dalinkimės tokia informacija ir su tais, kurie galbūt mažiau supranta apie vyraujančias grėsmes.

 

Projektą „SOCcare“ kartu su mūsų bendradarbiais, NRD Cyber Security ir RevelSI, bendrai finansuoja Europos Sąjunga, o jį remia Europos kibernetinio saugumo kompetencijos centras (ECCC) pagal dotacijos susitarimą Nr. 101145843.  

Publikacijos autorius Vytenis Misevičius, SOC grupės vadovas, vyresnysis analitikas, NRD Cyber Security.

Išsakytos nuomonės ir požiūriai yra tik autoriaus ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.