Kyberzločin jako služba

31. 7. 2017 v sekci Článek

Obliba konceptu malware-as-a-service (MaaS) poslední dobou výrazně roste. Nástroje a technologie přímo určené pro páchání kyberzločinů jsou běžně dostupné a uživatelsky přívětivé, koupit se dá prakticky cokoliv – od exploit kitů po hotové ransomwary. Organizované skupiny si ze zakázkového kyberzločinu udělaly prosperující byznys – zájemcům poskytují služby, kterými pokrývají snad všechny představitelné aktuální hrozby. Odborníci z oblasti kybernetické bezpečnosti upozornili na dvě služby, které otevírají široké veřejnosti brány do světa kyberzločinu: Ovidiy Stealer a Hackshit.

Ovidiy Stealer je služba zaměřená na kradení osobních údajů a hesel zadaných do prohlížečů. K dostání je na několika ruskojazyčných webech, a to za směšných 7 dolarů. Za tuto cenu se může i uživatel minimálně technicky zdatný dostat k loginům na kolika zařízeních chce. O Ovidiy Stealer se tvůrci dobře starají – přestože je k dispozici teprve měsíc, je pravidelně updatován. Výzkumníci z Proofpointu, kteří Ovidiy Stealer zkoumali, poukázali na zajímavý poměr „cena/výkon“. Za opravdu nízkou částku se může dostat nebezpečný nástroj do rukou komukoliv. Odborníky překvapilo také provedení; samotný malware je těžké detekovat a analyzovat, v jeho odhalovaní selhávají i běžné antivirové programy. Na druhé straně nemá malware žádný mechanismus, který by umožnil jeho spuštění i po restartu, proto je jeho životní cyklus dost omezený.

Ovidiy Stealer je vytvořený v .NET, malware může být nasazen napříč hojně používanými aplikacemi, jako je Chrome, Opera, FilleZilla, Amigo, Kometa, Torch nebo Orbitum. K dispozici jsou ale i lite verze pro jednotlivé prohlížeče. K šíření samotného škodlivého kódu lze použít běžné distribuční kanály včetně závadných příloh k e-mailům, přímých odkazů, podvržených aplikací a podobně. Ovidiy Stealer využívá SSL/TLS pro zabezpečenou komunikaci s C&C serverem, který je hostován na ruské doméně.

Dalším výrazným zástupcem stejného trendu, tedy kyberzločinu jako služby, je Hackshit, kterým se zabývali odborníci z Netskope Threat Research Labs. Ti jej označují jako phishing-as-a-service (PHaaS) pro začínající scammery. Hackshit dokonce nabízí free trial účty, kde si uživatelé mohou zkusit zdarma základní metody a postupy některých nelegálních praktik.

Hackshit umožňuje útočníkům-začátečníkům například vygenerovat vlastní podvržené weby různých služeb (Yahoo, Facebook, Google, Gmail…) a pokusit se z obětí vylákat jejich přihlašovací údaje. K dispozici je také řada velice detailních a srozumitelných video tutoriálů.

Web Hackshit používá certifikát SSL, který vydal Let's Encrypt – otevřený certifikační úřad (CA), který nabízí bezplatné SSL/TLS certifikáty pro webové servery a usnadňuje implementaci protokolu HTTPS.

Obě služby představují novou bezpečnostní výzvu – amatérům totiž umožňují využívat prostředky profesionálních kybernetických zločinců, a to velice jednoduše a prakticky zadarmo.

Zdroj: THN