Заобиколување на MFA: ZeroDayRAT е „Пример за Stalkerware“

Со пристап до SIM-картичка, податоци за локација и преглед на неодамнешни SMS пораки, напаѓачите имаат сè што им треба за преземање на сметки или таргетирана социјална инженеринг кампања.

Ново семејство малициозен софтвер комбинира шпионски алатки, надзор и кражба на информации за масовен пазар на криминалци.

Ова го наведува мобилниот безбедносен добавувач iVerify, кој денес објави ново истражување за ZeroDayRAT, семејство шпионски софтвер што се продава отворено преку Telegram. Купувачите добиваат пристап до панел со директен контакт со развивачот, вклучувајќи канали за продажба, корисничка поддршка и ажурирања на платформата.

Како и вообичаено за вакви кампањи, ZeroDayRAT ја достигнува жртвата преку малициозен бинарен фајл (APK за Android; payload за iOS), најчесто преку социјална инженеринг. „Најчестиот начин е smishing: жртвата добива порака со линк, презема апликација што изгледа легитимно и ја инсталира,“ пишува истражувачот од iVerify, Daniel Kelley. „Фишинг е-пораки, лажни апликациски продавници и линкови споделени преку WhatsApp или Telegram исто така функционираат.“

Шпионскиот софтвер може да краде кориснички креденцијали и финансиски податоци, но тоа не е сè. ZeroDayRAT е способен за надзор во реално време. Иако можеби не е толку софистициран како најновите zero-day експлоити продадени на државни актери, неговите можности се слични на комерцијален шпионски софтвер. Применет против организација, тоа му дава на напаѓачот целосен пристап до мобилниот уред на вработен, што претставува потенцијално сериозна закана за далечинскиот персонал.

„За компании, компромитиран уред на вработен е вектор за кражба на креденцијали, преземање на сметки и извлекување на податоци,“ стои во блогот. „За поединци, тоа значи целосен губиток на приватноста и директна финансиска изложеност. Безбедноста на мобилните уреди треба да се третира со истата итност како и безбедноста на крајните точки и е-пошта.“

Кога ZeroDayRAT ќе го зарази мобилниот уред

Според истражувачкиот блог, малициозниот софтвер поддржува Android верзии од 5 до 16 и iOS до 26. За напаѓачот не е потребно техничко знаење.

Откако заканувачкиот актер ќе добие пристап до уредот на жртвата, тој има целосен преглед на уредот, вклучувајќи модел на уредот, SIM-картичка, податоци за локација, информации за операторот, живи активности на уредот, преглед на неодамнешни SMS пораки и повеќе. Секој акаунт регистриран на уредот, како Google, Amazon, социјални медиуми и други, исто така се идентификува и детално се прикажува.

Тоа е доволно за создавање целосен профил, и како што пишува Kelley, „практично е сè што напаѓачот му треба за обид за преземање на сметки или за таргетирана социјална инженеринг кампања.“

Овие функции доаѓаат со целосна контрола над SMS (вклучително и можност за праќање пораки), ефективно заобиколувајќи мултифакторска автентикација (MFA). Исто така, малициозниот софтвер вклучува keylogger, микрофонска слушалка, снимање на екран, крадење на банкарски информации и крипто-крадење. Kelley за Dark Reading го опишува ZeroDayRAT како „пример за stalkerware.“

„Тоа ги прави новинари, активисти и жртви на семејно насилство потенцијални цели, зависно кој го користи,“ додава тој. „Компаниите со лабави BYOD политики се исто така загрозени, особено оние без мобилно управување или строга контрола на апликации. Профилот на жртвата целосно зависи од купувачот, но цената и сетот на можности укажуваат дека секогаш се има на ум одредена цел.“

Нова сцена за мобилни RAT-ови

Иако многу малициозни алатки на пазарот може да се купат за само неколку стотици долари, Kelley наведува дека прагот за целосен пристап е $2,000, што ја изнесува над класичната „script kiddie“ зона. Причината за оваа цена е што сетот на функции е „сèопфатен“ и се тврди дека може да компромитира iOS уреди, што сигнализира повисоки амбиции од просекот.

Иако цената е висока, операторите мотивирани од финансиски интерес, приватни истражувачи и други купувачи со ресурси го ширеа таргет-пазарот за шпионски софтвер за мобилни уреди, според Andrew Costis, инженерски менаџер на тимот за истражување на напаѓачи во безбедносниот добавувач AttackIQ.

„Од аспект на ризик, ова претставува конвергенција на способности на ниво на држава со криминална економија,“ вели Costis. „Функции некогаш резервирани за скапи, таргетирани разузнавачки операции сега стануваат комерцијализирани и достапни за финансиски мотивирани актери, инсайдерски закани или конкуренти кои бараат асиметрична предност. Иако најверојатните блиски жртви остануваат мали и средни претпријатија и поединци, истиот сет на алатки може да се преправи против компании преку таргетирање на извршни лица, компромитирање на мобилни уреди или патеки преку синџир на снабдување.“

За да се борат против ZeroDayRAT, организациите можат да разгледаат алатка за мобилна безбедност на крајни точки. Исто така, треба да ја дадат приоритет на запознавање со тоа како заканувачките актери злоупотребуваат социјална инженеринг за ширење на мобилен малициозен софтвер.

Извори:

• DarkReading – Payments platform BridgePay confirms ransomware attack behind outage DarkReading