Post Image

Java malware - kopiuje hasła i umożliwia zdalną kontrolę

2020-07-02 12:45:00

Nowo odkryte złośliwe oprogramowanie napisane w Javie może kopiować dane dostępowe, zdalnie sterować komputerem ofiary i wykonywać polecenia hakerów. Zintegrowany w opisywanym przypadku moduł ransomware nie jest jeszcze w pełni funkcjonalny. Na szczęście!

Analitycy z G DATA ostrzegają przed złośliwym oprogramowaniem opracowanym w Javie. Opisywany malware umożliwia przestępcom na odczytywanie haseł zapisanych w przeglądarce oraz programie pocztowym. Hakerzy zadbali także o funkcję zdalnego dostępu do zainfekowanej maszyny tzw. RAT czyli remote access trojan, która umożliwia przejęcie pełnej kontroli nad systemem ofiary. W tym celu wykorzystywany jest protokół RDP (Remote Desktop Protocol). W tle, bez wiedzy pokrzywdzonego, pobierana jest zmodyfikowana wersja narzędzia RDP Wrap (https://github.com/stascorp/rdpwrap) umożliwiająca ukrycie informacji o zdalnym dostępie do urządzenia z zewnątrz.

Analitycy natknęli się także na obecność podstawowego modułu ransomware. Jednak jak ustalili nie miały jeszcze miejsca ataki wykorzystujące szyfrowanie, a jedynie zmiany nazwy plików. Może to wskazywać na rozwojowość tego projektu i w przyszłości możemy spodziewać się na rynku ulepszonej wersji tego narzędzia od cyberprzestępców.

„Ta wersja złośliwego oprogramowania jest w pewnym sensie dość niezwykła, nieczęsto trafiamy na malware napisany w Javie. Po analizie tego konkretnego przypadku wiemy, że odnotowano próby infekcji wśród naszych klientów.”

Karsten Hahn
Analityk zagrożeń w G DATA

Specyficzne w tym przypadku jest to, że wektor infekcji determinuje działanie złośliwego oprogramowania czyli malware nie uruchomi się bez Javy. Możemy założyć, że jest to eksperyment twórcy tego kodu. Jednak istnieje już funkcja, która pobiera i instaluje środowisko wykonawcze Java tuż przed zainfekowaniem złośliwym oprogramowaniem Java. Każdy, kto już zainstalował wersję środowiska Java Runtime Environment (JRE) na komputerze, jest podatny na infekcje.

Dostęp RDP jest tradycyjnie popularnym narzędziem dla przestępców w celu uzyskania dostępu do systemów w sieciach korporacyjnych. Firmy z kolei korzystają z dostępu RDP do prac konserwacyjnych, a czasem do prac zdalnych. W ramach sieci korporacyjnej należy zatem uważnie obserwować ruch sieciowy, aby nieprawidłowości można było natychmiast zauważyć.

Więcej szczegółów technicznych można znaleźć w anglojęzycznym blogu technologicznym naszego analityka Karstena Hahna.

Media: