Στα τέλη Οκτωβρίου, ένας χάκερ που αυτοαποκαλείται Dark X δήλωσε πως έκλεψε τα προσωπικά δεδομένα 350 εκατομμυρίων πελατών της Hot Topic. Την επόμενη μέρα ο Dark X δημοσίευσε προς πώληση τα δεδομένα. Ο ίδιος θεωρεί πως καθοριστικό ρόλο έπαιξε η τύχη. Ο Alon Gal από την εταιρεία κυβερνοασφάλειας Hudson Rock, η οποία πρώτη βρήκε τη σύνδεση μεταξύ infostealers και της παραβίασης της Hot Topic, δήλωσε ότι του εστάλη το ίδιο σετ διαπιστευτηρίων από τον χάκερ. Η τύχη παίζει όντως ρόλο. Αυτή η περίπτωση αποτελεί την τελευταία από μια σειρά επιθέσεων που συνδέονται άμεσα με μια εκτεταμένη υπόγεια βιομηχανία, η οποία έχει κάνει “επιθέσεις” σε μερικές από τις πιο σημαντικές εταιρείες στον κόσμο.
Αυτά τα περιστατικά δεν ήταν μεμονωμένα. Αντίθετα, όλοι δέχθηκαν επίθεση χάρη στο “infostealers,” ένα είδος κακόβουλου λογισμικού που έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης και cookies αποθηκευμένα στο πρόγραμμα περιήγησης του θύματος. Πώς λειτουργεί όμως όλο αυτό;
• Ρώσοι προγραμματιστές κακόβουλου λογισμικού συνεχώς ανανεώνουν τον κώδικά τους.
• Ομάδες επαγγελματιών χρησιμοποιούν εντυπωσιακή διαφήμιση για να προσλάβουν άτομα που διασπείρουν το κακόβουλο λογισμικό μέσω πλατφορμών όπως το YouTube, το TikTok ή το GitHub.
• Αγγλόφωνοι έφηβοι στην άλλη άκρη του κόσμου χρησιμοποιούν στη συνέχεια τα κλεμμένα διαπιστευτήρια για να παραβιάσουν εταιρείες.
Σύμφωνα με συνεντεύξεις σε προγραμματιστές κακόβουλου λογισμικού, δηλώνεται πως οι χάκερ που χρησιμοποιούν τα κλεμμένα διαπιστευτήρια και αναλύσεις εγχειριδίων καθοδηγούν νέους για τη διάδοση του κακόβουλου λογισμικού. Το αποτέλεσμα; Ένα αθώο φαινομενικά κατέβασμα λογισμικού από έναν χρήστη μπορεί να οδηγήσει σε παραβίαση δεδομένων μιας πολυεθνικής εταιρείας αξίας δισεκατομμυρίων δολαρίων. Έτσι, η Google και άλλοι τεχνολογικοί γίγαντες βρίσκονται σε έναν διαρκώς κλιμακούμενο αγώνα για την ασφάλεια χρηστών και εταιρειών.
«Είμαστε επαγγελματίες στον τομέα μας και θα συνεχίσουμε να εργαζόμαστε για να παρακάμψουμε τις μελλοντικές ενημερώσεις της Google», δήλωσε σε διαδικτυακή συνομιλία ένας διαχειριστής του LummaC2, ενός από τα πιο δημοφιλή προγράμματα infostealer.
Το οικοσύστημα των infostealers ξεκινά από το ίδιο το κακόβουλο λογισμικό. Υπάρχουν δεκάδες τέτοιες εφαρμογές με ονόματα όπως Nexus, Aurora, META και Raccoon. Το πιο διαδεδομένο infostealer αυτήν τη στιγμή είναι το RedLine, σύμφωνα με την εταιρεία κυβερνοασφάλειας Recorded Future.
Αρχικά, πολλοί από τους δημιουργούς αυτών των προγραμμάτων επικεντρώνονταν στην κλοπή “διαπιστευτηρίων ή κλειδιών” που σχετίζονται με τα κρυπτονομίσματα. Με αυτά, οι χάκερ μπορούσαν να αδειάσουν ψηφιακά πορτοφόλια των θυμάτων τους γρήγορα. Πρόσφατα όμως, οι ίδιοι δημιουργοί και οι συνεργάτες τους κατάλαβαν ότι και άλλες πληροφορίες αποθηκευμένες σε ένα πρόγραμμα περιήγησης, όπως κωδικοί πρόσβασης θα μπορούσαν να αποφέρουν επιπλέον κέρδος.
Η RussianPanda υποστηρίζει πως οι δημιουργοί infostealers έχουν καταλάβει πως τα προσωπικά και εταιρικά διαπιστευτήρια, όπως στοιχεία σύνδεσης για λογαριασμούς, οικονομικά δεδομένα και άλλες ευαίσθητες πληροφορίες, έχουν μεγάλη αξία στη μαύρη αγορά. Ορισμένα infostealers πωλούν τα συλλεγμένα διαπιστευτήρια και cookies ή αρχεία καταγραφής μέσω bot στο Telegram. Το Telegram αντί να λειτουργεί απλώς ως εφαρμογή ανταλλαγής μηνυμάτων παρέχει κρίσιμη υποδομή για αυτές τις ομάδες. Η δημιουργία infostealers δεν είναι ιδιαίτερα δύσκολη, όμως οι προγραμματιστές τους έρχονται συνεχώς σε σύγκρουση με τεχνολογικούς γίγαντες, όπως η Google, που προσπαθούν να αποτρέψουν την κλοπή δεδομένων χρηστών.
Οι Stealers
Ένας εκπρόσωπος της Microsoft ανέφερε σε email: «Εκτός από τις βασικές απαιτήσεις υλικού για όλους τους υπολογιστές Windows—όπως το TPM, το Secure Boot και την ασφάλεια βασισμένη στην εικονικοποίηση, πολλά χαρακτηριστικά ασφαλείας είναι πλέον ενεργοποιημένα εξ ορισμού στα Windows 11, γεγονός που καθιστά πιο δύσκολο το έργο των info-stealers. Η συμβουλή μας είναι οι χρήστες να χρησιμοποιούν τη συσκευή τους με δικαιώματα Standard User και όχι Admin. Όταν οι χρήστες λειτουργούν ως Standard User μπορούν να κάνουν αλλαγές στον υπολογιστή τους, αλλά δεν έχουν πλήρη πρόσβαση στο σύστημα εξ ορισμού εμποδίζοντας έτσι τα info stealers να αποκτήσουν την πλήρη πρόσβαση που χρειάζονται για να κλέψουν δεδομένα».
Το κακόβουλο λογισμικό infostealer για Mac υπάρχει, αλλά σε πολύ μικρότερο βαθμό σύμφωνα με το Recorded Future.
H διαφήμιση που χτυπάει το ασυνείδητο αποτελεί κλειδί
Σε ένα υπόγειο φόρουμ που ονομάζεται Lolz, οι “traffers” συγκεντρώνονται για να βρουν νέους συνεργάτες. Ένας άνδρας σε βίντεο αναζητά άτομα για να διαδώσουν ένα ψεύτικο εργαλείο καζίνο που μπορεί να κλέψει χρήματα ανθρώπων. Ωστόσο μεγάλο μέρος του τμήματος “traffers” αφιερώνεται στη διάδοση infostealers. Αυτοί οι εργολάβοι έχουν ως έργο τους τη διάδοση του κακόβουλου λογισμικού ή την προσέλκυση επισκεψιμότητας, με ομάδες να συναγωνίζονται για προσοχή σε μια πολυσύχναστη αγορά. Καθεμία προσπαθεί να ξεπεράσει την άλλη με εντυπωσιακές διαφημίσεις και branding. Χρησιμοποιούν ονόματα όπως “Billionaire Boys Club,” “Baphomet” και “Chemodan.” Οι διαφημίσεις τους περιλαμβάνουν κινούμενες εικόνες πολυτελών αυτοκινήτων ή ιδιωτικών τζετ.
Πολλές από αυτές τις ομάδες λαμβάνουν νέες αιτήσεις μέσω των δικών τους bots στο Telegram. Κάποιες ομάδες έχουν αυστηρό πρωτόκολλο και επιθυμούν να συνεργάζονται μόνο με άτομα που έχουν ήδη εμπειρία, ενώ άλλες φαίνεται να δέχονται οποιονδήποτε. Τα bots στέλνουν αμέσως συνδέσμους προς τα αντίστοιχα εγχειρίδια των ομάδων, τα οποία εξηγούν πώς να διαδώσουν το κακόβουλο λογισμικό. Ένα εγχειρίδιο από την Baphomet, για παράδειγμα, προτείνει τη συσκευασία του stealer μέσα σε λογισμικό εξαπάτησης για το Roblox. Στη συνέχεια, περιγράφει πώς να δημιουργήσει κανείς ένα βίντεο στο YouTube για να προωθήσει την εξαπάτηση και κατ’ επέκταση να συμβάλει στη διάδοση του κακόβουλου λογισμικού.
Άλλη διαφήμιση από μια ομάδα traffers δηλώνει ότι εργάζεται με το TikTok, το Telegram, το Instagram, το Twitter, το Facebook, το YouTube, τα YouTube Shorts, τα ενημερωτικά δελτία ηλεκτρονικού ταχυδρομείου, τους bloggers και τους influencers. Στο βίντεο του χάκερ που πίνει ουίσκι, κάποια στιγμή εμφανίζεται μια σελίδα στο TikTok στον υπολογιστή του. Ορισμένα infostealers είναι επίσης κρυμμένα μέσα σε σπασμένο ή πειρατικό λογισμικό. Ένας λόγος για τον οποίο είναι τόσο αποτελεσματικά είναι ότι οι χρήστες αναζητούν ενεργά αυτό το λογισμικό και όχι το αντίστροφο. Οι άνθρωποι αναζητούν δωρεάν λογισμικό, αψηφώντας τις συνέπειες.
Αυτοί οι traffers και άλλοι είναι προφανώς επιτυχημένοι σε τεράστια κλίμακα. Η Recorded Future αναφέρει ότι εντοπίζει 250.000 νέες μολύνσεις από infostealers κάθε μέρα.
Τα συλλεγμένα διαπιστευτήρια διοχετεύονται στη συνέχεια σε κανάλια στο Telegram, όπου ένας τεράστιος όγκος από cookies και συνδέσεις είναι διαθέσιμος προς πώληση. Ο διαχειριστής του LummaC2 δήλωσε: «Αυτό μας αποφέρει καλό εισόδημα, αλλά δεν είμαι έτοιμος να αποκαλύψω συγκεκριμένα ποσά». Αυτά τα κανάλια έχουν το δικό τους branding, παρόμοια με τους traffers. Πολλά κανάλια διανέμουν επίσης κλεμμένα διαπιστευτήρια δωρεάν, πιθανότατα σε μια προσπάθεια να διαφημίσουν τις πληρωμένες υπηρεσίες τους. Αυτή είναι η κατάσταση που διαμορφώνεται σε ένα περιβάλλον που εξελίσσεται δυναμικά συνεχώς κάθε ημέρα, κάθε ώρα.
*Με στοιχεία από το Wired.
➪ Διαβάστε επίσης: Γιατί οι χάκερ θέλουν τις προσωπικές σας πληροφορίες;
Στα τέλη Οκτωβρίου, ένας χάκερ που αυτοαποκαλείται Dark X δήλωσε πως έκλεψε τα προσωπικά δεδομένα 350 εκατομμυρίων πελατών της Hot Topic. Την επόμενη μέρα ο Dark X δημοσίευσε προς πώληση τα δεδομένα. Ο ίδιος θεωρεί πως καθοριστικό ρόλο έπαιξε η τύχη. Ο Alon Gal από την εταιρεία κυβερνοασφάλειας Hudson Rock, η οποία πρώτη βρήκε τη σύνδεση μεταξύ infostealers και της παραβίασης της Hot Topic, δήλωσε ότι του εστάλη το ίδιο σετ διαπιστευτηρίων από τον χάκερ. Η τύχη παίζει όντως ρόλο. Αυτή η περίπτωση αποτελεί την τελευταία από μια σειρά επιθέσεων που συνδέονται άμεσα με μια εκτεταμένη υπόγεια βιομηχανία, η οποία έχει κάνει “επιθέσεις” σε μερικές από τις πιο σημαντικές εταιρείες στον κόσμο.
Αυτά τα περιστατικά δεν ήταν μεμονωμένα. Αντίθετα, όλοι δέχθηκαν επίθεση χάρη στο “infostealers,” ένα είδος κακόβουλου λογισμικού που έχει σχεδιαστεί για να κλέβει κωδικούς πρόσβασης και cookies αποθηκευμένα στο πρόγραμμα περιήγησης του θύματος. Πώς λειτουργεί όμως όλο αυτό;
• Ρώσοι προγραμματιστές κακόβουλου λογισμικού συνεχώς ανανεώνουν τον κώδικά τους.
• Ομάδες επαγγελματιών χρησιμοποιούν εντυπωσιακή διαφήμιση για να προσλάβουν άτομα που διασπείρουν το κακόβουλο λογισμικό μέσω πλατφορμών όπως το YouTube, το TikTok ή το GitHub.
• Αγγλόφωνοι έφηβοι στην άλλη άκρη του κόσμου χρησιμοποιούν στη συνέχεια τα κλεμμένα διαπιστευτήρια για να παραβιάσουν εταιρείες.
Σύμφωνα με συνεντεύξεις σε προγραμματιστές κακόβουλου λογισμικού, δηλώνεται πως οι χάκερ που χρησιμοποιούν τα κλεμμένα διαπιστευτήρια και αναλύσεις εγχειριδίων καθοδηγούν νέους για τη διάδοση του κακόβουλου λογισμικού. Το αποτέλεσμα; Ένα αθώο φαινομενικά κατέβασμα λογισμικού από έναν χρήστη μπορεί να οδηγήσει σε παραβίαση δεδομένων μιας πολυεθνικής εταιρείας αξίας δισεκατομμυρίων δολαρίων. Έτσι, η Google και άλλοι τεχνολογικοί γίγαντες βρίσκονται σε έναν διαρκώς κλιμακούμενο αγώνα για την ασφάλεια χρηστών και εταιρειών.
«Είμαστε επαγγελματίες στον τομέα μας και θα συνεχίσουμε να εργαζόμαστε για να παρακάμψουμε τις μελλοντικές ενημερώσεις της Google», δήλωσε σε διαδικτυακή συνομιλία ένας διαχειριστής του LummaC2, ενός από τα πιο δημοφιλή προγράμματα infostealer.
Το οικοσύστημα των infostealers ξεκινά από το ίδιο το κακόβουλο λογισμικό. Υπάρχουν δεκάδες τέτοιες εφαρμογές με ονόματα όπως Nexus, Aurora, META και Raccoon. Το πιο διαδεδομένο infostealer αυτήν τη στιγμή είναι το RedLine, σύμφωνα με την εταιρεία κυβερνοασφάλειας Recorded Future.
Αρχικά, πολλοί από τους δημιουργούς αυτών των προγραμμάτων επικεντρώνονταν στην κλοπή “διαπιστευτηρίων ή κλειδιών” που σχετίζονται με τα κρυπτονομίσματα. Με αυτά, οι χάκερ μπορούσαν να αδειάσουν ψηφιακά πορτοφόλια των θυμάτων τους γρήγορα. Πρόσφατα όμως, οι ίδιοι δημιουργοί και οι συνεργάτες τους κατάλαβαν ότι και άλλες πληροφορίες αποθηκευμένες σε ένα πρόγραμμα περιήγησης, όπως κωδικοί πρόσβασης θα μπορούσαν να αποφέρουν επιπλέον κέρδος.
Η RussianPanda υποστηρίζει πως οι δημιουργοί infostealers έχουν καταλάβει πως τα προσωπικά και εταιρικά διαπιστευτήρια, όπως στοιχεία σύνδεσης για λογαριασμούς, οικονομικά δεδομένα και άλλες ευαίσθητες πληροφορίες, έχουν μεγάλη αξία στη μαύρη αγορά. Ορισμένα infostealers πωλούν τα συλλεγμένα διαπιστευτήρια και cookies ή αρχεία καταγραφής μέσω bot στο Telegram. Το Telegram αντί να λειτουργεί απλώς ως εφαρμογή ανταλλαγής μηνυμάτων παρέχει κρίσιμη υποδομή για αυτές τις ομάδες. Η δημιουργία infostealers δεν είναι ιδιαίτερα δύσκολη, όμως οι προγραμματιστές τους έρχονται συνεχώς σε σύγκρουση με τεχνολογικούς γίγαντες, όπως η Google, που προσπαθούν να αποτρέψουν την κλοπή δεδομένων χρηστών.
Οι Stealers
Ένας εκπρόσωπος της Microsoft ανέφερε σε email: «Εκτός από τις βασικές απαιτήσεις υλικού για όλους τους υπολογιστές Windows—όπως το TPM, το Secure Boot και την ασφάλεια βασισμένη στην εικονικοποίηση, πολλά χαρακτηριστικά ασφαλείας είναι πλέον ενεργοποιημένα εξ ορισμού στα Windows 11, γεγονός που καθιστά πιο δύσκολο το έργο των info-stealers. Η συμβουλή μας είναι οι χρήστες να χρησιμοποιούν τη συσκευή τους με δικαιώματα Standard User και όχι Admin. Όταν οι χρήστες λειτουργούν ως Standard User μπορούν να κάνουν αλλαγές στον υπολογιστή τους, αλλά δεν έχουν πλήρη πρόσβαση στο σύστημα εξ ορισμού εμποδίζοντας έτσι τα info stealers να αποκτήσουν την πλήρη πρόσβαση που χρειάζονται για να κλέψουν δεδομένα».
Το κακόβουλο λογισμικό infostealer για Mac υπάρχει, αλλά σε πολύ μικρότερο βαθμό σύμφωνα με το Recorded Future.
H διαφήμιση που χτυπάει το ασυνείδητο αποτελεί κλειδί
Σε ένα υπόγειο φόρουμ που ονομάζεται Lolz, οι “traffers” συγκεντρώνονται για να βρουν νέους συνεργάτες. Ένας άνδρας σε βίντεο αναζητά άτομα για να διαδώσουν ένα ψεύτικο εργαλείο καζίνο που μπορεί να κλέψει χρήματα ανθρώπων. Ωστόσο μεγάλο μέρος του τμήματος “traffers” αφιερώνεται στη διάδοση infostealers. Αυτοί οι εργολάβοι έχουν ως έργο τους τη διάδοση του κακόβουλου λογισμικού ή την προσέλκυση επισκεψιμότητας, με ομάδες να συναγωνίζονται για προσοχή σε μια πολυσύχναστη αγορά. Καθεμία προσπαθεί να ξεπεράσει την άλλη με εντυπωσιακές διαφημίσεις και branding. Χρησιμοποιούν ονόματα όπως “Billionaire Boys Club,” “Baphomet” και “Chemodan.” Οι διαφημίσεις τους περιλαμβάνουν κινούμενες εικόνες πολυτελών αυτοκινήτων ή ιδιωτικών τζετ.
Πολλές από αυτές τις ομάδες λαμβάνουν νέες αιτήσεις μέσω των δικών τους bots στο Telegram. Κάποιες ομάδες έχουν αυστηρό πρωτόκολλο και επιθυμούν να συνεργάζονται μόνο με άτομα που έχουν ήδη εμπειρία, ενώ άλλες φαίνεται να δέχονται οποιονδήποτε. Τα bots στέλνουν αμέσως συνδέσμους προς τα αντίστοιχα εγχειρίδια των ομάδων, τα οποία εξηγούν πώς να διαδώσουν το κακόβουλο λογισμικό. Ένα εγχειρίδιο από την Baphomet, για παράδειγμα, προτείνει τη συσκευασία του stealer μέσα σε λογισμικό εξαπάτησης για το Roblox. Στη συνέχεια, περιγράφει πώς να δημιουργήσει κανείς ένα βίντεο στο YouTube για να προωθήσει την εξαπάτηση και κατ’ επέκταση να συμβάλει στη διάδοση του κακόβουλου λογισμικού.
Άλλη διαφήμιση από μια ομάδα traffers δηλώνει ότι εργάζεται με το TikTok, το Telegram, το Instagram, το Twitter, το Facebook, το YouTube, τα YouTube Shorts, τα ενημερωτικά δελτία ηλεκτρονικού ταχυδρομείου, τους bloggers και τους influencers. Στο βίντεο του χάκερ που πίνει ουίσκι, κάποια στιγμή εμφανίζεται μια σελίδα στο TikTok στον υπολογιστή του. Ορισμένα infostealers είναι επίσης κρυμμένα μέσα σε σπασμένο ή πειρατικό λογισμικό. Ένας λόγος για τον οποίο είναι τόσο αποτελεσματικά είναι ότι οι χρήστες αναζητούν ενεργά αυτό το λογισμικό και όχι το αντίστροφο. Οι άνθρωποι αναζητούν δωρεάν λογισμικό, αψηφώντας τις συνέπειες.
Αυτοί οι traffers και άλλοι είναι προφανώς επιτυχημένοι σε τεράστια κλίμακα. Η Recorded Future αναφέρει ότι εντοπίζει 250.000 νέες μολύνσεις από infostealers κάθε μέρα.
Τα συλλεγμένα διαπιστευτήρια διοχετεύονται στη συνέχεια σε κανάλια στο Telegram, όπου ένας τεράστιος όγκος από cookies και συνδέσεις είναι διαθέσιμος προς πώληση. Ο διαχειριστής του LummaC2 δήλωσε: «Αυτό μας αποφέρει καλό εισόδημα, αλλά δεν είμαι έτοιμος να αποκαλύψω συγκεκριμένα ποσά». Αυτά τα κανάλια έχουν το δικό τους branding, παρόμοια με τους traffers. Πολλά κανάλια διανέμουν επίσης κλεμμένα διαπιστευτήρια δωρεάν, πιθανότατα σε μια προσπάθεια να διαφημίσουν τις πληρωμένες υπηρεσίες τους. Αυτή είναι η κατάσταση που διαμορφώνεται σε ένα περιβάλλον που εξελίσσεται δυναμικά συνεχώς κάθε ημέρα, κάθε ώρα.
*Με στοιχεία από το Wired.
➪ Διαβάστε επίσης: Γιατί οι χάκερ θέλουν τις προσωπικές σας πληροφορίες;