Malware-i “Dhelpra ngjyrë vjollce” infekton sistemet e pambrojtura Windows
Botnet[i] formohen nga qindra ose mijëra pajisje të hakuara të cilat veprojnë bashkërisht si një rrjet e që kontrollohen nga operatorë kriminal, për tu përdorur pastaj për nisjen e një sulmi “denial-of-network” duke bombarduar organizatën me trafik të panevojshëm (junk) me qëllim nxjerrjen e tyre jashtë linjës (offline). Përveç kësaj, me të marrë këto pajisje nën kontroll, kriminelët mund të përdorin botnet për të përhapur maluer ose spam, ose të instalojnë ransomuer që enkriptojnë skedat në kompjuterët e infektuar.
Hulumtuesit thonë se një botnet që ka në objektiv pajisjet me Windows është duke u përhapur me shpejtësi të madhe, falë një teknike të re infeksioni që lejon që malueri të përhapet nga një kompjuter në tjetrin.
Hulumtuesit Amit Serper dhe Ophir Harpaz nga kompania e sigurisë Guardicore publikuan një artikull ku tërheqin vërejtjen për përhapjen e një malueri[ii] të quajtur “Purple Fox” (dhelpra vjollcë).
“Purple Fox” fillimisht ishte zbuluar në Mars të vitit 2018 e cila në atë kohë përhapej si e-mail “phishing” dhe si vegla për Exploit[iii] të cilat infektonin Internet Explorer-in dhe kompjuterët me Windows, përmes “privilege escalation exploit[iv]” – një mënyrë e mirë kjo për të infektuar sa më shumë kompjuterë duke përfituar nga mangësitë ekzistuese në aspektin e sigurisë.
Gjatë fundit të vitit 2020 dhe fillimit të vitit 2021, hulumtuesit e kësaj kompanie kishin zbuluar mënyrën e përhapjes së maluerit “Purple Fox” përmes skanimit të porteve pa dallim dhe shfrytëzimit të shërbimeve të ekspozuara SMB[v] me fjalëkalime dhe “hash”-e të dobëta.
Hulumtuesit thonë që “Purple Fox” nuk ka ndryshuar shumë në veprimet pas-infektimit, mirëpo ka ndryshuar sjellja e tij e ngjashme me “worm[vi]”, duke i mundësuar malware-it përhapje më të shpejt.
Për të arritur këtë, malueri provon fjalëkalime të ndryshme të dobëta të llogarive të shfrytëzuesve të kompjuterëve me Windows duke pasur në cak “server message block”, ose SMB – një komponentë që i mundëson Windows-it komunikimin me pajisjet periferike, si printer, ose “file-server”[vii]. Me të fituar qasjet e nevojshme në kompjuterin e pambrojtur, ai shkarkon përmes internetit një ngarkesë të dëmshme nga një rrjet i komprometuar dhe heshtazi instalon një ‘rootkit’ duke mbajtur maluerin të ankoruar vazhdimisht në kompjuter ndërsa e bën zbulimin apo heqjen e tij gjithnjë e më të vështirë.
Me të infektuar sistemin e caktuar, malueri fillimisht mbyllë në firewall të gjithë portet (445, 139, dhe 135) që vet ka përdorë për të infektuar kompjuterin, me gjasë për të parandaluar ndonjë infektim tjetër në atë kompjuter apo për të parandaluar ndonjë rrëmbim të atij sistemi të infektuar nga ndonjë grup tjetër hakerësh, deklarojnë hulumtuesit.
Hulumtuesit po ashtu tërheqin vërejtjen se tani malueri po përhapet në formën e një ngarkese të dyshimtë “.msi” të cilën ngarkesë sulmuesit e kanë vendosur në më se 2000 (web) serverë me Windows – që sipas hulumtuesve janë kompjuter të komprometuar të cilët janë ri-destinuar për të mbajtur kodin – të cilët shkarkojnë dhe ekzekutojnë një komponent me aftësi të një “rootkit[viii]”-i, që u mundëson hakerëve fshehjen e maluerit në kompjuterët e infektuar, tek të cilët shfrytëzuesit përdorin fjalëkalime të dobëta, duke i mundësuar kështu maluerit përhapje më të shpejtë.
Siç mund të shihet në grafikun e mësipërm, gjatë muajit maj të vitit 2020 ndodhën një mori sulmesh dhe numri i tyre është rritur afërsisht 600% duke arritur në një total prej 90,000 sosh që nga koha e shkrimit të këtij dokumenti.
Ndërkohë që “botnets” përdoren nga hakerët për të nisur një sulm “denial-of-network[ix]” ndaj faqeve me qëllim nxjerrjen e tyre jashtë linjës, ato mund të përdorën po ashtu edhe për të përhapur “malware” të të gjitha llojeve, duke përfshirë ransomuer që enkripton shënimet në kompjuterët e infektuar.
Mbi të gjitha, drejtimi i ri i përhapjes së infektimit është një tjetër shenjë që kriminelët vazhdimisht përshtatin mekanizmin e përhapjes së maluerit të tyre për të infektuar dhe për të komprometuar sa më shumë pajisje që munden. Detajet rreth indikatorëve të komprometimit të lidhura me këtë kampanjë mund t’i gjeni këtu.
[i] Botnet – një rrjet kompjuterësh privat të infektuar me softuer për qëllime të këqija dhe të kontrolluar si një grup – pa dijeninë e pronarëve, p.sh., për të dërguar mesazhe spam.
[ii] Malware – softuer që është krijuar posaçërisht për të prishur, dëmtuar ose fituar qasje të paautorizuar në një sistem kompjuterik.
[iii] Exploit – vegël softuerike e projektuar për të përfituar nga mangësitë e një sistemi kompjuterik për të instaluar aty ndonjë maluer.
[iv] Përshkallëzim i privilegjit është një vektor i zakonshëm kërcënimi për kundërshtarët, i cili u lejon atyre të hyjnë në infrastrukturën e IT të organizatave për të vjedhur të dhëna të ndjeshme, për të prishur operacione dhe për të krijuar dyer të pasme për sulmet e ardhshme.
Një shfrytëzim i përshkallëzimit të privilegjeve është diçka që ju thjesht ekzekutoni dhe rrit privilegjet tuaja në pak sekonda.
[v] SMB (server message block) – blloku i masazheve të serverit.
[vi] Worm – një program vetë-përsëritës që ë është në gjendje të përhapet në të gjithë rrjetin, zakonisht duke pasur një efekt të dëmshëm.
[vii] File-server – një kompjuter i cili menaxhon me skedarët.
[viii] Rootkit – një grup veglash softuerike që i mundësojnë një përdoruesi të paautorizuar që pa u zbuluar të merr kontrollin e një sistemi kompjuterik.
[ix] denial-of-network – përmes këtij sulmi hakerët u pamundësojnë të përdorni rrjetin tuaj.
Tag:botnet, denial of service, exploit, file-server, malware, PurpleFox, rootkit, smb, spam, worm