Niezależnie od kategorii, szkodliwe oprogramowanie pobrane do systemu, stanowi poważne zagrożenie dla firm, komputerów w firmach oraz komputerów w domach. Z kilku kluczowych powodów, a są to: ataki na infrastrukturę, kradzież danych, zagrożenie dla poufności i prywatności, wymuszanie okupu, utrata reputacji, zakłócenie działalności, kary finansowe.
Na podstawie kilku badań i danych telemetrycznych postaram się udowodnić tezę, że trojany stanowią poważne zagrożenie.
Pierwszą odpowiedź na pytanie w sprawie danych telemetrycznych otrzymałem od F-Secure. Ich badanie pokazuje, że tzw. „infostealer’y”, które zaliczają się do trojanów, plasują się jako najbardziej powszechne zagrożenie dla systemu Windows i stanowią ~70% najczęściej występujących ataków. Złośliwe oprogramowanie tego typu ma na celu kradzież haseł, danych logowania, numerów kart płatniczych, danych osobowych, danych związanych z kryptowalutami, bankowością i innymi.
Podobne dane na żądanie dostarczyła nam firma Check Point. W ostatnim pełnym miesiącu tzw. infostealery znajdują się na ich liście najpopularniejszego złośliwego oprogramowania w Europie. Dalej jest tylko trojan Remcos oraz trojan typu downloader (Guloader).
Firmy oraz użytkownicy powinni być świadomi zagrożeń związanych z trojanami. Powinni podejmować odpowiedni środki ostrożności – techniczne i merytoryczne, edukacyjne. Można do nich zakwalifikować: regularne aktualizowanie oprogramowania, stosowanie silnych haseł, przechowywanie haseł w menadżerach, korzystanie z programów bezpieczeństwa, nadawanie odpowiednich uprawnień, monitorowanie infrastruktury oraz logowania do zasobów, edukacja pracowników w zakresie cyberbezpieczeństwa.
W corocznym raporcie firmy Any.Run, świadczącej usługi analizy malware na żądanie, trojany znalazły się w TOP 3 najczęściej występującego złośliwego oprogramowania wśród klientów piaskownicy black box w chmurze.
Do najczęściej występujących rodzin trojanów w Q2 2023 roku zaliczamy:
- RedLine
- Remcos
- njRAT
1. RedLine
RedLine jest wysoce zaawansowanym trojanem używanym przez cyberprzestępców do kradzieży danych i do kontrolowania komputerów użytkowników. Sprzedawany jest za około 150 dolarów na forach przestępczych w postaci jednorazowej licencji albo subskrypcji. Oznacza to, że twórcy ulepszają złośliwy kod, bo przynosi im zyski.
Trojan zaprogramowany jest do kradzieży informacji z przeglądarek internetowych, w tym:
- zapisanych danych do logowania,
- danych zapisanych do autouzupełniania pól i formularzy,
- informacji o kartach płatniczych,
- w nowszych wersjach RedLine dodano możliwość kradzieży kryptowaluty,
- oprogramowanie takie jak FileZilla i komunikatory internetowe również są celem RedLine,
- złośliwe oprogramowanie potrafi kraść i wysyłać oraz pobierać pliki, wykonywać polecenia i okresowo wysyłać informacje o zainfekowanym komputerze do serwera hakera.
Podczas uruchamiania RedLine na komputerze ofiary wykonywana jest tzw. inwentaryzacja systemu, która gromadzi dane i przekazuje je do serwera hakera:
- nazwę użytkownika,
- dane o lokalizacji,
- konfiguracja sprzętu,
- informacje o zainstalowanym oprogramowaniu zabezpieczającym.
Trojan zwykle umieszczany jest pod postacią plików:
- dokumentów Microsoft Office, Libre Office
- plików PDF,
- archiwów RAR i ZIP,
- plików EXE, JavaScript.
Jeśli trojan zakończy w systemie operacyjnym swoje działanie, to wysyła skradzione informacje do serwera kontrolowanego przez przestępcę w zakodowanym formacie w base64.
2. Remcos
Według statystyk trojan Remcos jest na drugim miejscu najczęściej występujących trojanów w drugim kwartale 2023 roku. Oprogramowanie, całkowicie legalne, jest do kupienia w sieci jako „narzędzie do zdalnego zarządzania”.
Arsenał możliwości trojana jest bardzo wszechstronny, stąd szerokie zainteresowanie nim wśród cyberprzestępców. Remcos, podobnie jak trojan RedLine, może ukrywać się pod postacią różnych plików.
Najczęściej Remcos wykorzystywany jest do:
- zdalnego sterowania komputerem ofiary,
- przechwytywania klawiszy,
- masowego pobierania plików z dysków,
- wykonywania zdalnych poleceń,
- wszystkiego, co jest związane z kradzieżą danych.
3. njRAT
njRAT (Njw0rm) to kolejny przykład trojana typu Remote Access Trojan (RAT, trojan zdalnego dostępu), który umożliwia hakerom zdalną kontrolę nad zainfekowanymi komputerami.
Działa podobnie jak inne trojany: po zainfekowaniu komputera, hakerzy mogą zdalnie wykonywać różne działania, takie jak przechwytywanie ekranu, rejestrowanie klawiszy, przesyłanie i pobieranie plików, aktywacja kamery i mikrofonu.
Trojan jest oparty na frameworku .NET. Jak wspomniałem, pozwala atakującym aktywować kamerę internetową, rejestrować naciśnięcia klawiszy, ale też kraść hasła z przeglądarek internetowych i aplikacji komputerowych. Ponadto daje hakerom dostęp do wiersza poleceń na zainfekowanym komputerze. Pozwala to na kończenie procesów, na zdalne pobieranie i uruchamianie innych szkodliwych plików.
njRAT jest w stanie atakować aplikacje do obsługi portfeli kryptowalut. Wiadomo na przykład, że jest w stanie przechwytywać Bitcoiny, a nawet uzyskiwać dostęp do informacji płatniczych, które czasami mogą być zapisane w usługach kryptowalut jako środek do ich zakupu.
njRAT jest często rozprzestrzeniany za pomocą złośliwych załączników e-mailowych, zainfekowanych plików pobieranych z Internetu, fałszywych aktualizacji oprogramowania lub poprzez wykorzystanie technik socjotechnicznych, aby skłonić użytkowników do uruchomienia złośliwego pliku.
W naszych testach Advanced In-The-Wild Malware Test zabezpieczeń punktów końcowych odnotowujemy znaczną ilość trojanów. Są to na przykład:
- INFECTION: Generic.MSIL.PasswordStealerA.9D8F4871
- INFECTION: Trojan.Babar.D1B7E2
- INFECTION: Trojan.Barys.D16FB1
- INFECTION: Trojan.MSIL.Krypt.11
- INFECTION: Trojan.MSILHeracles.D1234F
- INFECTION: Trojan.Nemesis.D5C62
- INFECTION: Trojan.Razy.DB9199
- INFECTION: Trojan.Generic.D3FFE07B
Warto zwrócić uwagę, że zagrożenie, jakim jest trojan, to bardzo szeroka rodzina złośliwego oprogramowania. Od najprostszych postaci, trojan potrafi być „zwykłym” downloaderem, który jest pośrednikiem w pobieraniu i uruchamianiu konkretnego malware. Albo może być bezpośrednim zagrożeniem dla bankowości internetowej lub tzw. stealer’em.
Ochrona przed trojanami i złośliwym oprogramowaniem
Ochrona przed trojanami jest niezwykle ważna w kontekście finansów cyfrowych, ponieważ tego rodzaju ataki mogą prowadzić do utraty danych, kradzieży pieniędzy, także do naruszenia prywatności.
Warto zadbać o aktualizacje oprogramowania i systemu, aby nie pozostawiać luk, stosować silne hasła, używać co najmniej autoryzacji 2FA podczas logowania, unikać podejrzanych linków z komunikatorów oraz poczty email.
Prawdopodobnie najlepszą obroną przed trojanami jest znajomość zagrożeń i świadomość praktyk bezpieczeństwa, dlatego też powstał ten artykuł, aby opisać kilka popularnych trojanów oraz możliwości techniczne. Dorze jest też używać dodatkowych warstw ochrony spośród naszych rekomendowanych narzędzi, które będą skanować odwiedzane strony i pobierane pliki, w tym ochrona antywirusowa pozostaje niezbędna.
I pamiętaj o kopii zapasowej!
