WhatsApp-ыг “дамжуулагчаар” ашигласан нарийн зохион байгуулалттай халдлага
Кибер гэмт хэрэгтнүүд WhatsApp мессежийн платформыг ашиглан шинэ төрлийн банкны троян болох Eternidade Stealer-ийг тарааж, хэрэглэгчдийн мэдэхгүйгээр өгөгдөл хулгайлж буй томоохон кампанит ажлыг эхлүүлжээ. Trustwave SpiderLabs-ийн судлаачдын мэдээлснээр халдлагын бүтцэд Python скрипт, AutoIt, Delphi хэл дээр бичигдсэн бүрэлдэхүүнүүд зэрэг олон түвшний техник ашиглагдаж байгаа нь гэмт этгээдүүдийн тактик улам ухаалгаар нарийсч буйг харуулж байна.
Энэхүү кампанийн нэг онцлог нь өмнөх олон халдлагад түгээмэл хэрэглэгддэг PowerShell-ийн оронд Python ашиглаж байгаа явдал. Python скрипт нь WhatsApp Web-д хандах сувгийг булааж аван, хэрэглэгчийн нэр дээрээс нь хортой файлуудыг харилцагчдад нь автоматаар илгээдэг. Ийм төрлийн техник өмнө нь Water Saci нэртэй кампанит ажлын үеэр ажиглагдаж байсан ч одоогийн хувилбар илүү боловсронгуй болжээ.
Халдвар хэрхэн тархаж байна вэ?
Халдварын гинжин үйл явц VBS скриптээр дамжин BAT файлыг ажиллуулснаар эхэлдэг. Үүний дараа довтолгоо хоёр чиглэлд “салаалж”, нэг талд Python дээр бичсэн өт хохирогчийн WhatsApp харилцагч бүр рүү хортой хавсралт бүхий файлуудыг тараадаг бол нөгөө талд MSI суулгагч нь AutoIt ашиглан гол троян програмыг систем рүү нэвтрүүлдэг. Ингэснээр халдвар авсан төхөөрөмж зөвхөн өөрөө эмзэг байдалд ороод зогсохгүй, бусдад халдвар тараадаг “түгээмэл цэг” болдог.
Eternidade Stealer-ийн зорилго нь санхүүгийн үйлчилгээ, цахим түрийвч, крипто платформуудын нэвтрэх мэдээлэл, санхүүтэй холбоотой нууц өгөгдлийг хулгайлах явдал юм. Тухайлбал, Бразилийн Bradesco, BTG Pactual, MercadoPago гэх мэт банк, санхүүгийн програмууд, мөн Binance, Coinbase, MetaMask, Trust Wallet зэрэг крипто болон дижитал түрийвчийн үйлчилгээ тус трояны шууд бай оноо болж байна. Хулгайлсан мэдээллээ имэйл эсвэл тусгай бэлтгэсэн нөөц серверүүдээр дамжуулан хакерууд руу буцаан илгээх чадвартай.
Латин Америкаас эхэлсэн халдлага бусад тив рүү дамжиж байна
Одоогоор халдлагын ихэнх тохиолдол Бразил, Аргентинд бүртгэгдсэн ч АНУ, Герман, Нидерланд зэрэг орнуудад мөн сэжигтэй үйл ажиллагаа ажиглагдаж байгаа нь Eternidade Stealer богино хугацаанд олон бүс нутгийг хамарч эхэлснийг харуулж байна. Trustwave SpiderLabs-ийн шинжээчдийн үзэж байгаагаар кампанит ажил маш хурдтай хөгжиж, хамгаалалтын шийдлүүдийг тойрч гарах шинэ арга барил, вариацуудыг байнга туршиж, сайжруулж байгаа аж.
Тиймээс WhatsApp болон бусад мессежийн сувгаар ирсэн үл таних холбоос, хавсралттай мессежийг нээхгүй байх, санамсаргүй MSI суулгагч файлуудыг ажиллуулахгүй байх, мөн гар утас, компьютерийн аюулгүй байдлын програм, вирусны хамгаалалтаа тогтмол шинэчлэх нь өмнөхөөсөө ч илүү чухал болж байна. Хэрэглэгчдийн хувьд ганц даруулт буруу сонголт нь зөвхөн өөрийнх нь өгөгдөл төдийгүй түүний бүх харилцагчдыг эрсдэлд оруулж болзошгүй нөхцөл байдал үүсжээ.
