Kiberbiztonság ma: Infostealer-as-a-Service, bankleállások Oroszországban

Kiberbiztonság ma: Infostealer-as-a-Service, bankleállások Oroszországban

MediaVideo
Yanac

Egy új, „infostealer-as-a-service” modell terjed, amelyről a Varonis publikált részletes elemzést: már havi körülbelül 900 dollárért bérelhető a Storm nevű kártevő, amely kifejezetten a modern hitelesítési mechanizmusok megkerülésére lett optimalizálva. A támadási lánc jellemzően célzott vagy tömeges phishing kampánnyal indul, de előfordul fertőzött szoftverletöltés vagy „crackelt” alkalmazásokon keresztüli terjedés is. A sikeres fertőzés után a malware a felhasználó gépén elkezdi feltérképezni a böngészőket és azok profiljait, majd kinyeri a session cookie-kat, access tokeneket, mentett hitelesítési adatokat és egyéb autentikációs információkat. Ezeket az adatokat titkosított csatornán továbbítja a támadó infrastruktúrájába.

A modus operandi kulcsa, hogy a támadók nem jelszót próbálnak törni vagy belépést kezdeményezni, hanem egy már meglévő, hitelesített munkamenetet „lopnak el”. A megszerzett session cookie-kat saját böngészőjükbe vagy automatizált eszközökbe importálják, így a célrendszer számára úgy tűnik, mintha az eredeti felhasználó folytatná a munkát. Ez azt jelenti, hogy az MFA – amely csak a belépési folyamat során ellenőriz – teljesen hatástalanná válik. A Storm emellett képes folyamatosan frissíteni a lopott session adatokat, valamint több szolgáltatás (pl. Google Workspace, Microsoft 365, közösségi média és pénzügyi platformok) ellen is skálázhatóan működni. A begyűjtött adatokat gyakran „log marketeken” értékesítik, ahol komplett hozzáférési csomagok vásárolhatók meg, így a támadási képesség gyakorlatilag szolgáltatásként válik elérhetővé még alacsony technikai tudás mellett is.

Eközben Oroszországban egy nagyszabású, országos hatású digitális leállás bénította meg a pénzügyi infrastruktúra jelentős részét. Több vezető bank – köztük a Sberbank, a VTB és az Alfa-Bank – mobilalkalmazásai és online rendszerei egyszerre váltak elérhetetlenné vagy súlyosan instabillá. A kiesés dominószerű hatást váltott ki: a kártyás fizetések számos helyen nem működtek, az ATM-ek nem adtak ki készpénzt, és sok kereskedelmi egység, valamint benzinkút kizárólag készpénzes fizetésre tudott átállni. A fennakadások a közlekedést is érintették, Moszkvában például a metró kapuit megnyitották, és ideiglenesen ingyenessé tették az utazást, mivel a jegyrendszer nem tudta feldolgozni a tranzakciókat. A hivatalos szervek nem adtak egyértelmű magyarázatot az incidens okára, azonban több iparági forrás szerint az esemény összefügghet az orosz internetes infrastruktúrát érintő korlátozásokkal, különösen a VPN-szolgáltatások elleni fellépéssel.

Források:
‘Stolen session cookies render MFA irrelevant’: How $900-per-month turnkey malware is putting enterprise-grade account hijacking in the hands of rookie hackers: https://www.techradar.com/pro/security/stolen-session-cookies-render-mfa-irrelevant-how-usd900-per-month-turnkey-malware-is-putting-enterprise-grade-account-hijacking-in-the-hands-of-rookie-hackers
MAJOR OUTAGE CRIPPLES RUSSIAN BANKING APPS AND METRO PAYMENTS NATIONWIDE: https://securityaffairs.com/190464/security/major-outage-cripples-russian-banking-apps-and-metro-payments-nationwide.htmlThe Prof and The GeekRead More