Cybergang Roaming Mantis rozszerza zasięg ataków z Azji na resztę świata - również Polskę

21-05-2018, 23:12

W ubiegłym miesiącu wykryto nowe szkodliwe oprogramowanie dla systemu Android, rozprzestrzeniane przy użyciu techniki przechwytywania ustawień DNS w routerach, które atakowało głównie urządzenia mobilne w Azji. Zagrożenie rozszerzyło zasięg o Europę (łącznie z Polską) i Bliski Wschód, stosując ataki phishingowe wymierzone w urządzenia z systemem iOS oraz zaprzęgając komputery PC do kopania kryptowaluty.

Celem kampanii, znanej pod nazwą Roaming Mantis, jest głównie kradzież informacji użytkowników, łącznie z danymi uwierzytelniającymi, oraz zapewnienie atakującym pełnej kontroli nad zainfekowanymi urządzeniami. Według badaczy za całą operacją stoi koreańsko- lub chińskojęzyczne ugrupowanie cyberprzestępcze motywowane chęcią osiągnięcia zysku finansowego.

Metoda ataku

Z ustaleń Kaspersky Lab wynika, że osoby odpowiedzialne za Roaming Mantis wyszukują podatne na ataki routery i rozprzestrzeniają szkodliwe oprogramowanie za pośrednictwem prostej, ale bardzo skutecznej sztuczki polegającej na przechwytywaniu ustawień DNS na tych urządzeniach sieciowych. Metoda infekowania routerów pozostaje nieznana. Gdy ustawienia DNS zostaną zmodyfikowane, użytkownik, który chce otworzyć dowolną stronę WWW, widzi na ekranie witrynę o prawidłowym adresie, jednak treść jest podstawiana z serwera kontrolowanego przez cyberprzestępców. Obejmuje ona zalecenie uaktualnienia przeglądarki do najnowszej wersji aplikacji Chrome („To better experience the browsing, update to the latest chrome version”). Kliknięcie odsyłacza inicjuje instalację zawierającej trojana aplikacji o nazwie facebook.apk lub chrome.apk, która umożliwia atakującym przejęcie kontroli nad zainfekowanym urządzeniem z Androidem.

Szkodliwe oprogramowanie sprawdza, czy zainfekowane urządzenie zostało zrootowane (proces dający dostęp do uprawnień administratora w systemie Android) i przechwytuje informacje o wszelkiej aktywności użytkownika związanej z przeglądaniem zasobów internetu. Szkodnik potrafi gromadzić szereg informacji, łącznie z danymi uwierzytelniającymi. Badacze odkryli, że fragmenty kodu szkodliwego programu odnoszą się do popularnych w Korei Południowej aplikacji bankowych i gier.

Rozszerzony zasięg geograficzny celów oraz funkcjonalności

Na początku zidentyfikowano około 150 celów, główne w Korei Południowej, Bangladeszu oraz Japonii, jednak tysiące połączeń nawiązywanych każdego dnia z serwerami kontrolowanymi przez cyberprzestępców wskazują na znacznie większą skalę ataku. Szkodnik obejmował obsługę czterech języków: koreańskiego, uproszczonego chińskiego, japońskiego oraz angielskiego.

Obecnie zasięg ataków został rozszerzony i obsługiwanych jest łącznie 27 języków, w tym polski, niemiecki, włoski, czeski, hiszpański, arabski, bułgarski oraz rosyjski. Atakujący wprowadzili również przekierowanie do stron phishingowych o tematyce związanej z firmą Apple, jeżeli szkodliwe oprogramowanie trafi na urządzenie z systemem iOS. Najnowszym nabytkiem w arsenale cybergangu jest strona phishingowa wykorzystywana do angażowania mocy obliczeniowej komputerów PC do kopania kryptowaluty.

Źródło: Kaspersky Lab Polska


Źródło: materiał nadesłany do redakcji
To warto przeczytać





fot. ZUS







Komentarze
comments powered by Disqus
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2018»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.