Phishing koji širi Hancitor malver otkriven i u Srbiji

Malver, čiji je zadatak da u sistem žrtve ubaci druge malvere, širi se preko lažnih Amazon emailova.

Phishing koji širi Hancitor malver otkriven i u Srbiji

Nedavno je do IT klinike stigao phishing email koji, ispostavilo se, širi malver poznat pod imenom Hancitor.

Phishing poruka sa naslovom: "Your Amazon.com order of "Apple iPhone X 5.8", 256 GB - Sp..." has shipped!", koju možete da vidite na slici, sadrži informacije o navodnoj porudžbini preko Amazona i detaljima isporuke.

Phishing sa Amazonom

Amazon phishing širi Hancitor malver

Ukoliko primalac poruke klikne na neki od linkova, pokupiće Hancitor malver koji služi da se u sistem žrtve ubacuju drugi opasniji malveri.

Ako niste ništa poručivali preko Amazona ili bilo kod drugog online servisa, ne klikćite na linkove. Da biste proverili da li je neko zaista naručio nešto preko vašeg naloga, ulogujte se preko zvaničnog sajta i proverite, ili proverite u izvodima banke.

Hancitor

Hancitor je malver čiji je zadatak da u sistem žrtve ubaci druge malvere, prvenstveno bankarske trojance koji kradu informacije o bankovnom nalogu žrtve. Poznat je i pod nazivima Chanitor i Tordal. U pitanju je malver koji koristi macro i širi se preko dokumenata u spam kampanjama.

Vreme napada je pažljivo tempirano - napadi se dešavaju sredinom radne nedelje kada ljudi imaju najviše posla. Takođe, napadači su specijalizovali svoje globalne operacije kako bi bili uspešniji u izbegavanju detekcije.

Meta Hancitor napada su Windows računari. Preciznije, najidealnija meta su stare ili neažurirane verzije OS-a poput Windows 7 ili Windows XP. Ova taktika daje rezultate zbog toga što se koristi za napad na žrtve širom sveta preko nekoliko stotina spam kampanja svakog meseca.

Tempiranje napada

Postoji jasan obrazac vremena napada, a to je sredina radne nedelje. Pretpostavka je da tada ljudi imaju najviše posla. Tempiranje napada je od ranije poznata taktika. U slučaju Hancitora, primenjuje se kako bi napadači, u kombinaciji sa drugim inovativnim tehnikama, povećali šanse za uspeh.

Prilagođavanje napada

Ranije je Hancitor malver distribuiran preko malicioznih imejl atačmenta. Kada žrtva otvori atačment, sa malicioznog ili kompromitovanog sajta preuzima se i instalira drugi, finalni malver (bankarski trojanac).

Hancitor u attachmentu

Hancitor se preuzima preko attachmenta. Izvor slike Palo Alto Netoworks.

Vremenom su organizacije povećale efektivnost blokiranja malicioznih atačmenta poput Hancitora tako da su napadači morali da naprave određene promene. Napadači više ne šalju Hancitor kao maliciozni atačment već u spam imejlu šalju maliciozni link na kome se pomenuti malver preuzima. Kako bi naveli žrtve da otvore link, spam imejl sadrži fakturu ili poruku ili obaveštenje o isporuci za čije preuzimanje je potrebno kliknuti na link.

Hancitor u linku

Isporuka Hancitora preko servera za distribuciju. Izvor slike Palo Alto Netoworks.

Hancitor napad sada, dakle, sadrži dva umesto jednog preuzimanja. Napadači danas za maliciozna preuzimanja primenjuju i jednu modernu poslovnu taktiku - globalizaciju.

Globalizacija napada

Serveri za distribuciju Hancitor napada se nalaze u više od 25 država sveta, a najviše ih je otkriveno u SAD-u (197), Japanu (23), Vijetnamu (13), Singapuru (12), Rusiji (7), Brazilu i Maleziji (po 6).

Žarište napada je očigledno u SAD-u gde su serveri za distribuciju napravljeni preko lažnih naloga kod različitih hosting provajdera koji hostuju Hancitor dokumenta. Što se tiče zemalja Azije, tu su napadači kompromitovali legitimne sajtove malih i srednjih preduzeća i na njih ubacili Hancitor dokumenta.

Zaključak

Postoje 2 ključna faktora zbog kojih je Hancitor, iako prilično bazičan malver, toliko dugo "u igri" (više od 2 godine): prvi je zloupotreba hosting provajdera, a drugi postojanje ranjivih servera širom sveta koje napadači relativno lako mogu kompromitovati i iskoristiti za širenje malvera. Sajber kriminalci su vremenom prilagodili tehnike distribucije. Iako je broj potencijalnih žrtava ograničen (u pitanju su organizacije i pojedinci koji se oglušuju o bezbednosne preporuke i koriste zastarele i neažurirane verzije Windowsa), očigledno je da profit prevazilazi troškove. Sve dok je takva situacija, gledaćemo Hancitor kampanje i u budućnosti.