Dvojice hackerů si za měsíc a půl vydělala přes 100 000 Kč pouhým prodejem hackerského nástroje APOMacroSploit

Do kampaně je zapojeno přibližně 40 různých hackerů a při útocích využívají 100 různých e-mailových adres. Check Point zachytil útoky ve více než 30 zemích, včetně České republiky.

PRAHA – 2. března 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, odhalil nový nástroj pro tvorbu malwaru s názvem APOMacroSploit, který byl použit k e-mailovým útokům na více než 80 společností z celého světa.

Bližší analýza ukázala, že tento nástroj obsahuje funkce, pomocí kterých se vyhne detekci Windows Defenderem. Nástroj je navíc denně aktualizován, aby se vyhnul dalším detekčním mechanismům. Check Point rozkryl pozadí hrozby i skutečnou identitu jednoho z útočníků. Informace byly sdíleny s příslušnými orgány činnými v trestním řízení.

Oběť je infikována malwarem, jakmile uživatel povolí dynamický obsah XLS dokumentu přiloženého ve škodlivém e-mailu a XLM makro automaticky začne stahovat systémový příkazový skript pro Windows.

Vzhledem k ceně útočného nástroje a počtu útoků lze odhadovat, že dva hlavní kyberzločinci si vydělali minimálně 5 000 dolarů za 1,5 měsíce pouhým prodejem produktu APOMacroSploit.

Výzkumný tým sledoval související útoky a analyzoval RAT (Remote Access Trojan) malware používaný v rámci kampaně ke vzdálené kontrole zařízení obětí a krádeži informací.

Do kampaně bylo zapojeno přibližně 40 různých hackerů a při útocích využívali 100 různých e-mailových adres. Check Point zachytil útoky ve více než 30 zemích, včetně České republiky.

Škodlivý dokument

Na začátku útoku byl použit škodlivý XLS dokument se zamaskovaným XLM makrem nazvaným Macro 4.0. Makro se spustí automaticky, když oběť otevře dokument a stáhne soubor BAT z domény cutt[.]ly. Spuštění příkazu „attrib“ umožňuje skrýt skript BAT v zařízení oběti.

V této fázi útoku udělali útočníci ale zásadní chybu. Doména cutt[.]ly přímo přesměrovává na server pro stahování a neprovádí požadavek na backend.

U každého souboru byla do názvu vložena přezdívka zákazníka. Zombie99, zmíněný také v názvu souboru, je přezdívka jednoho z útočníků. Bylo tak možné získat seznam přezdívek všech zákazníků a také kyberzločinců.

APOMacroSploit

Při hledání uživatelských jmen zmíněných v názvech souborů BAT našel Check Point reklamu na malware builder s názvem APOMacroSploit. Jedná se o nástroj, který uživateli umožňuje vytvořit XLS soubor, který se vyhne detekci antivirem a dalším bezpečnostním kontrolám.

APOMacroSploit umí také na počítači oběti deaktivovat a upravit Windows Defender, aby bylo snazší spustit škodlivý obsah.

Na HackForums.net prodávají APOMacroSploit dva uživatelé: Apocaliptique (Apo) a Nitrix.

Check Point objevil také kanál Discordu, ve kterém Nitrix vystupuje jako vývojář nástroje a Apo jako administrátor. Nitrix i Apocaliptique tam nabízí svým zákazníkům pomoc s použitím nástroje.

Hackeři nejen prodali své útočné nástroje, ale také se podíleli na tvorbě a hostování škodlivých kódů.

Apocaliptique používá k propagaci nástroje a jeho funkcí i youtube kanál Apo Bypass.

Více informací najdete v analýze kyberbezpečnostní společnosti Check Point:

https://research.checkpoint.com/2021/apomacrosploit-apocalyptical-fud-race/

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.