Nova maliciozna alatka, nazvana “123 | Stealer”, pojavila se na podzemnim forumima sajber kriminala, a prodaje je prijetnja “koneko” po cijeni od 120 američkih dolara mjesečno. Ova ponuda malicioznog softvera kao usluge (MaaS) predstavlja najnoviju fazu razvoja tehnologije za krađu informacija, kombinujući sofisticirane mogućnosti eksfiltracije podataka sa korisnički prijatnim administrativnim interfejsom.
Ova alatka je usmjerena na prikupljanje sveobuhvatnog spektra osjetljivih podataka, što odražava rastuću komercijalizaciju alata sajber kriminala. Prema oglasu na forumu, maliciozni softver prikuplja podatke iz pretraživača, kolačiće, pohranjene lozinke, informacije o kripto-novčanicima i ekstenzije za pretraživače. Prijeteći haker tvrdi da alatka takođe može obavljati operacije preuzimanja procesa i datoteka, čineći je svestranim alatom za operacije krađe podataka.
“123 | Stealer” je kodiran u C++, što sugeriše da su programeri dali prednost performansama i pristupu sistemu niskog nivoa. Alatka koristi stub arhitekturu bez DLL-ova, težine oko 700KB, što otežava njeno otkrivanje od strane tradicionalnih antivirusnih rješenja koja se oslanjaju na metode detekcije ubrizgavanja DLL-ova.
Jedan značajan aspekt je zahtjev za korišćenjem serverskih provokatora. Korisnici moraju uspostaviti sopstvenu provokatorsku infrastrukturu koristeći servere bazirane na Ubuntu ili Debian, što ukazuje na sofisticiranu arhitekturu komandovanja i upravljanja (C2). Ovaj pristup omogućava operaterima malicioznog softvera da održe operativnu sigurnost (OPSEC) dok prebacuju teret infrastrukture na kupce.
Administrativni panel pokazuje široku podršku za pretraživače, uključujući kompatibilnost sa preko 70 ekstenzija za pretraživače. Alatka cilja na glavne pretraživače bazirane na Chrome kao što su Google Chrome, Opera i sam Chromium, kao i pretraživače bazirane na Gecko kao što su varijante Firefoxa. Popularne aplikacije, uključujući Discord, Battle.net i razne kripto-novčanike, takođe su u opsegu malicioznog softvera.
Mjesečni model pretplate od 120 dolara pozicionira “123 | Stealer” u srednjem segmentu tržišta alatki za krađu informacija. Ova cjenovna strategija cilja kako na početnike u sajber kriminalu, tako i na iskusne prijetnje koji traže pouzdane alate za eksfiltraciju podataka. Model pretplate osigurava redovne prihode za autore malicizonog softvera, istovremeno pružajući kontinuirana ažuriranja i podršku korisnicima.
Oglas na forumu naglašava da su korisnici odgovorni za svaku detekciju ili događaje više sile, što ukazuje na pokušaje autora malicioznog softvera da ograniče svoju odgovornost. Osim toga, usluga izričito zabranjuje operacije u Rusiji, zemljama ZND-a i bivšim sovjetskim republikama, što je uobičajeno ograničenje među uslugama sajberkriminala.
Trenutno, maliciozni softver nije dobio javne recenzije od drugih sajber kriminalaca na forumu, čineći njegovu stvarnu efikasnost neprovjerenom. Međutim, profesionalni prikaz interfejsa za prijavljivanje i sveobuhvatnog administrativnog panela sugerisan značajna ulaganja u razvoj, što ukazuje da bi ovo mogla biti ozbiljna prijetnja, a ne operacija prevare. Istraživači i organizacije za sigurnost bi trebali pratiti uzorke “123 | Stealer” i ažurirati svoje potpise detekcije kako bi se zaštitili od ove nove prijetnje.
Detaljnije objašnjenje upozorenja
Sigurnosna firma “SlowMist” je objavila upozorenje na svom zvaničnom nalogu na mreži X (ranije poznatoj kao Twitter) kao i na svom blogu, ukazujući na sve češću pojavu prevara putem lažnih QR kodova, posebno unutar kripto zajednice i na javnim mjestima.
Kontekst i primjeri
Ovo upozorenje je usko povezano sa nedavnim aktivnostima sajber kriminalaca koji iskorištavaju povjerenje korisnika u legitimne QR kodove. Prevaranti pribjegavaju taktici društvenog inženjeringa kako bi namamili žrtve. Njihova metodologija se sastoji u postavljanju naljepnica sa zlonamjernim QR kodovima preko originalnih kodova na lokacijama kao što su parking aparati, prodavnice ili izložbeni prostori. Cilj je da korisnici, kada skeniraju kod svojim mobilnim uređajima, bivaju preusmjereni na lažnu web stranicu.
Metodologija napada i načini na koje prevaranti mame žrtve
Lažni QR kodovi često vode do web stranica koje izgledaju identično legitimnim servisima. Na tim lažnim stranicama, žrtve se podstiču da unesu svoje osjetljive podatke, kao što su podaci za prijavljivanje na naloge, podaci o bankovnim karticama ili privatni ključevi kripto-novčanika. U kontekstu kripto zajednice, prevaranti mogu kreirati lažne stranice za unos novčanika ili platforme za razmjenu, obećavajući povratne informacije, nagrade ili pristup ekskluzivnim ponudama. Kada žrtva unese svoje podatke, oni se direktno šalju prevarantima.
Detalji incidenta i kako je napad izveden:
Iako konkretan detaljan primjer nije dat u ovom kratkom obavještenju, opšta praksa je da se naljepnice sa QR kodovima postavljaju na mjesta gdje se očekuje legitimna upotreba. Na primjer, na javnom parkingu, naljepnica sa lažnim QR kodom može zamijeniti onu koja vodi na zvaničnu stranicu za plaćanje parkinga. Kada korisnik skenira lažni kod, biva preusmjeren na stranicu koja imitira sistem plaćanja, tražeći podatke o kartici. U kripto svijetu, lažni kodovi mogu biti postavljeni na fizičke predmete ili čak na digitalne displeje, navodeći korisnike da skeniraju kod koji vodi do lažne web stranice za prijenos kriptovaluta ili unos privatnih ključeva. Uvjerljivost ovih prevara leži u vizualnoj sličnosti lažnih stranica sa originalnim, kao i u iskorištavanju žurbe ili nepažnje korisnika.