Meglehetősen mozgalmas fél évet tud maga mögött az androidos pénzügyi fenyegetések - a mobilbankoló áldozatok pénzére pályázó kártevők - tábora, akár a hagyományosnak számító, rosszindulatú szoftverek, akár az újabban megjelenő kriptotolvajok (cryptostealer) aktivitását nézzük, mutatott rá idei első féléves jelentésében (Threat Report H1 2024) az ESET.
A kiberbiztonsági cég telemetriai adati ugyan 2024 első hat hónapjában a megfigyelt szinte minden androidos fenyegetés jelentős mérséklődését mutatták - ami nem szokatlan jelenség, általában idényjellegű tényezőkre, például ünnepek hatására vezethető vissza -, az Android alapú eszközök és appok felhasználóit támadó kampányok intenzitása szinten maradt. Kategóriájukban az ESET a tavalyi év azonos időszakához képest idén január és június között mindössze 3,8 százalékos csökkenést mért, ami egyúttal azt jelenti, hogy észlelési rátájuk már két éve alig változik. Egészen más dinamikát mutat azonban az androidos fenyegetések viselkedése, mert a támadók módszerei ebben a szegmensben is dinamikusan fejlődnek.
- A terület új szereplője a GoldPickaxe, egy különös mobil malware, az arcfelismerés adatait lopja el deepfake videók készítéséhez, amelyeket azután a csalók a pénzügyi tranzakciók indításához szükséges ügyfél-azonosításra használnak - mondta Jiří Kropáč, az ESET fenyegetésészlelési igazgatója. - Ez az androidos és iOS-alapú változatban egyaránt aktív fenyegetés Dél-Kelet-Ázsiában lokalizált rosszindulatú appokon keresztül veszi célba áldozatait. Miután kollégáinkkal közelebbről is megvizsgáltuk ezt a maleware családot, rátaláltunk a GoldPickaxe idősebb testvérére is, amely GoldDiggerPlus néven Dél-Amerikában és Dél-Afrikában utazik a mobilbankolók pénzére.
Információlopás mint szolgáltatás
Lépést tartanak napjaink AI trendjeivel az információlopó (infostealer) kártevők is, amelyek immár a generatív mesterséges intelligencia képességeit kínáló eszközök álcájában igyekeznek megtéveszteni áldozataikat. Az ilyen rosszindulatú szoftverekkel operáló kiberbűnözők változatos módszerekkel veszik rá a gyanútlan felhasználókat az AI appnak álcázott malware telepítésére.
A múlt év második felében az ESET például 650 ezernél több alkalommal blokkolta olyan domainek elérését, amelyek szövege a "chapgpt" vagy ahhoz hasonlóan elírt szót tartalmazott. Az áldozatok jellemzően a közösségi média felületein megjelenő, illetve e-mailben vagy mobil üzenetben érkező hirdetésre kattintva érkeznek az ilyen adathalász (phishing) oldalakra, amelyek gyakran linket is kínálnak a generatív AI szoftvernek tűnő malware letöltéséhez.
Idén, az év első felében hasonló viselkedésével a Rilide Stealer hívta fel magára a kiberbiztonsági cég figyelmét. A rosszindulatú böngészőbővítmény a Facebookon megjelenő hirdetésekben kínálkozik letöltésre, azzal áltatva a felhasználókat, hogy kattintás után az OpenAI Sora vagy a Google Gemini hivatalos weboldalára viszi őket. Bár a bővítmény a Google Translate szoftvermoduljának adja ki magát, valójában a Rilide Stealer V4-es verzióját rejti, és ellopja lépre csalt áldozatainak Facebook-azonosítóit. Az ESET telemetriai adatai szerint a gyanútlan felhasználók tavaly augusztus óta több mint 4 ezerszer próbálták meg letölteni ezt a kártevő bővítményt.
A kiberbűnözők alkalmazásboltokba online piacterekre feltöltött, legitimnek tűnő mobil appokba is előszeretettel rejtenek rosszindulatú szoftverkódot, amely telepítést követően érzékeny - többek között belépési és személyes azonosításra alkalmas, valamint pénzügyi - információkat lop a félrevezetett felhasználó eszközéről. A támadók további kedvelt módszere, hogy az ingyenesen letölthető alkalmazásban "fejlett AI képességeket" kínálnak felár ellenében, más jellegű, de szintén appon belüli vásárlásra ösztönző hirdetésekkel kezdik bombázni áldozataikat, vagy olyan szolgáltatás előfizetését követelik tőlük, amely valójában rendkívül rossz minőségű, vagy egyáltalán nem létezik.
Az ilyen típusú, rosszindulatú kampányok egyikében a Vidar infótolvaj például a Midjourney képgeneráló mesterséges intelligencia Windows desktopon futó alkalmazásának adta ki magát, holott a Midjourney AI modellje kizárólag a Discord szerverein, az ehhez létrehozott felhasználói fiókból érhető el.
- Bár a generatív mesterséges intelligencia modelljeinek folyamatos fejlesztését a visszaélések megakadályozására szolgáló biztosítékok kísérik, a kiberbűnözőket ez a körülmény nem gátolja abban, hogy a generatív AI-t övező érdeklődést saját céljaik elérésére használják ki - mondta Jiří Kropáč. - Különösen az infostealerek körében kifejezett ez a 2023-ban kibontakozó trend, amely folytatódni fog a jövőben is. A felhasználóknak ezért tanácsoljuk, hogy akkor se kattintsanak megbízhatatlan linkekre, ha azok generatív AI modellek elérésével kecsegtetnek, hanem mindig keressék fel a szolgáltatók hivatalos weboldalát. Az információtolvaj kártevők elleni védekezéshez pedig eszközeiken mindig futtassanak jó hírű biztonsági megoldásokat.
Az ebbe a kategóriába tartozó kártevők némelyike - például a Lumma Stealer RedLine Stealer - újabban a bűnözők által feltört online, többszereplős játékok ökoszisztémájában is felütötte fejét. Jóllehet ez utóbbi, a szolgáltatásként (infostealer-as-a-service) elérhető RedLine Stealer működését a kiberbiztonsági kutatók 2023-ban megzavarták, és úgy tűnik, fejlesztése is megszakadt, az ESET az idei év első felében több, elszigetelt kampányát is észlelte, amelyek intenzitása még a tavalyiakét is felülmúlta.
Nagyot ment 2024 első hat hónapjában a Balada Injector mögött álló kiberbűnözői csoport is, amely a WordPress nyílt forráskódú weboldalkészítő platform beépülő szoftvermoduljainak sérülékenységeit használja ki. Az ESET telemetriai adatai szerint ebben az időszakban több mint 20 ezer weboldalt tört fel, és 400 ezernél több találatot halmozott fel.
- A Balada Injector szkriptek a webszerver teljes átvételéhez vezethetnek, ezért a felhasználóknak meg kell győződniük róla, hogy biztosan eltávolították őket weboldalaikról, és frissíteniük a sebezhető bővítményeket, mert így akadályozhatják meg a jövőbeni kihasználást - mondta Ján Adámek, az ESET detektáló mérnöke. - A kártevővel operáló rosszindulatú szereplők hajlamosak az eltávolítást nehezítő perzisztencia-mechanizmusok többszörös telepítésére, ezért szükséges ezeket is kiiktatni, például ellenőrizni, hogy a webkiszolgálón találhatók-e hamis admin-fiókok és rosszindulatú fájlok, és lecserélni a hitelesítő adatokat.
Trónfosztás a zsarolóvírusoknál
A zsarolóvírusok frontján az eddigi vezető szereplőnek számító LockBit királyságának az Operation Cronos, az amerikai és angliai hatóságok közös művelete vetett véget idén februárban. Bár az ESET telemetriai adatai 2024 első felében két LockBit kampány nyomait is mutatták, elemzésükből egyértelműen kiderült, hogy azokat a hírhedt bűnbandától független szereplők indították a LockBit kiszivárgott fejlesztőeszközét használva.
- A kezdeti kétkedésre rácáfolva az Operation Cronos eredményesnek bizonyult, a vezető pozícióját elveszítő LockBit most azzal próbálja menteni a hírnevét, hogy korábbi áldozatainak adatait teszi közzé szivárogtató oldalain - mondta Jakub Souček, az ESET vezető malware kutatója. - A Change Healthcare váltságdíját bezsebelő BlackCat kámforrá válása szintén hullámokat vetett ebben az arénában, amelyeket a most februárban színre lépő RansomHub és a 2022 közepe óta aktív Play zsarolóvírus csoport is igyekszik meglovagolni, hogy feljebb tornássza magát a ransomware-as-a-service ranglétráján.
A szivárogtató oldalakon közzétett adatokból ítélve a zsarolóvírusos támadások száma 2024 első negyedében 20 százalékkal növekedett a megelőző negyedévhez mérten, de - elsősorban az erőviszonyok említett, hirtelen változása, és az ennek nyomán fellépő káosz miatt - a második negyedévben ez a trend megtorpant.
- Ebből azonban korántsem következik, hogy a ransomware-as-aservice eltűnne a fenyegetéskörnyezetből - mutatott rá az ESET szakembere. - Az idei év második felében minden bizonnyal világosabb képet kapunk majd arról, hogy a csalódott tagok mely bandákhoz pártolnak át, és a zsarolóprogramok rangsora ismét tükrözni fogja a változó szövetségek felállását.
Az egyik legfejlettebb szerveroldali malware kampány mögött álló Ebury botnet viszont - amelyet az ESET fehér könyvében (Operation Windigo) először 2014-ben ismertetett - tíz év múltán is ugyanolyan aktív és veszélyes, mint valaha, szerverek tízezrein évente rendszeresen frissül, és már közel 400 ezer kiszolgálót fertőzött meg.
Jóllehet az Ebury már az első vizsgálat idején is tekintélyes eszközkészlettel bírt, a hatóságokkal közösen végzett, legújabb kutatások szerint a botnet funkcionalitása tovább bővült, különösen az olyan módszerek terén, mint a kriptopénzlopás és a hitelkártya adatok megszerzése.
Idén májusban az ESET Research újabb fehér könyvben (Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain) tette közzé a friss elemzés eredményeit, amely a féléves fenyegetésjelentéshez hasonlóan letölthető WeLiveSecurity kiberbiztonsági blogjáról.