Během sofistikovaného útoku se hackerům podařilo prolomit heslo do emailového klienta a odeslat podvodnou kampaň, která měla pod zdáním slevového kuponu přimět k instalaci infikovaného souboru. Popisujeme, co se přesně stalo.
Útočníci si v noci 8. října zaregistrovali doménu „voxpot.eu“ u registrátora, nabízejícího anonymní registraci domén a jejich platbu pomocí kryptoměn včetně měny Monero. Ta umožňuje provádět transakce poměrně anonymně.
Doména odkazovala na server v Rumunsku, na který byl umístěn soubor s malware (zkratka pro malicious software, neboli škodlivý program).
Kolem půlnoci se útočníci přihlásili do mailingového klienta díky prolomení hesla jednoho z členů redakce. Následně zkopírovali obsah staršího newsletteru a doplnili do něj nový text, zahrnující údajný slevový kupón na nákup v internetovém obchodě Alza.cz.
Email vypadal věrohodně a byl napsán dobrou češtinou s promyšleným obsahem
Kupón měl být aktivní po stažení údajného pluginu Voxpot (žádný takový neexistuje) do prohlížeče, nicméně ve skutečnosti si uživatel stáhl právě malware.
Tento malware je pravděpodobně z rodiny infostealerů, které po stažení sledují uživatelovu aktivitu a na servery útočníka odesílají citlivé informace: historii prohlížení, uložená hesla, dokumenty a podobně.
Šlo podle všeho o malware StealC, fungující jako Malware as a Service (zkráceně MaaS). Za dostatek peněz si může i méně zkušený útočník koupit hotový malware připravený na míru. Dostane k němu dokumentaci i vizuální ovládací panel, na kterém lze procházet napadené počítače nebo ukradené údaje.
Ve 7:45 ráno došlo k automatickému odeslání newsletteru na seznam kontaktů Voxpotu. Email vypadal věrohodně a byl napsán dobrou češtinou s promyšleným obsahem.
„Moje první reakce byla: WTF co jste si to vymysleli za partnerství s Alzou. A až když jsem koukal, co se stahuje za soubor s ,doplňkem’, tak mi to došlo a trochu jsem se přidusil pastou na zuby,“ komentuje profesionalitu podvrhu člen IT týmu Voxpotu Matěj Heřmánek.
Email nabízel fiktivní doplněk do prohlížeče, se kterým měl uživatel dostat přístup k dalšímu obsahu a informacím o slevových akcích. Zároveň sliboval se stažením kupon na 500 korun do zmíněného internetového obchodu.
Jaká byla časová osa naší reakce?
Timeline 9. října:
- 7:45 – Hackeři vytváří a odesílají kampaň z mailingového klienta,
- 7:50 – První report, začínáme incident response.
Řešíme vektor (způsob útoku) a původní předpoklad podvržené hlavičky mailu. - 8:00 – Podezření přesouváme na legitimní kampaň z mailingového klienta.
- 8:30 – Potvrzujeme že z něj email odešel.
- 8:40 – Identifikovaná doména voxpot.eu, ze které se malware stahuje. Registrovaná na sarek.fi, DNS na njal.la.
- 8:50 – Posíláme abuse report na doménu voxpot.eu odeslaný na sarek.fi a njal.la,
- 9:00 – Odchází nový e-mail příjemcům podvodné kampaně s varováním, že šlo o vir a stejné sdělení dáváme také na sociální sítě
- 9:00 – Reportujeme URL s malwarem (voxpot.eu/plugin.exe) do databáze Google Safe Browsing. Reportujeme spustitelný soubor do Microsoft Security Intelligence (aby se dostal do základního antiviru ve Windows).
- 9:15 – Rotujeme hesla všech uživatelů v emailovém klientu.
- 9:30 – Propojujeme se s poskytovatelem mailingu přes oficiální podporu i mimo ni, zjišťujeme jak došlo k průniku.
- 9:50 – njal.la blokuje doménu voxpot.eu, která tak mizí z internetu. V tuhle chvíli si už nikdo malware nemůže stáhnout, odkaz v mailu je nefukční.
- 11:10 – Měníme API klíč k mailingovému klientu.
- 13:10 – Poskytovatel mailingu potvrzuje způsob přístupu do služby skrze účet člena*ky redakce.
- 19:30 – Definitivně potvrzujeme, že nedošlo k úniku kontaktů z emailové databáze Voxpotu.
Zavirovaný odkaz si stihlo stáhnout sto lidí z naší databáze kontaktů. Zřejmě se nám nepodaří zjistit, co bylo cílem celého útoku. Jeho sofistikovanost a poměrně velká náročnost na prostředky nabízí několik možností.
Mohlo jít o snahu reputačně poškodit Voxpot, získat přístup k počítači někoho z poměrně zajímavé skupiny čtenářů Voxpotu nebo o provedení sofistikovaného útoku s cílem získat peníze skrze přístup k některému ze zasažených počítačů.
Obchod s daty uživatelů považujeme za méně pravděpodobný cíl, protože nákladnost útoku zřejmě silně převyšuje výnosy, které by z něj plynuly.
Redakce v důsledku útoku posílila své zabezpečení a nabízí pomoc a konzultaci všem, kdo si soubor v podvodné emailové kampani stáhli. Malware by už od středy zároveň měly být schopny identifikovat antivirové programy.
Za rychlou a profesionální redakci děkujeme IT družstvu Druit i týmu Ecomailu.
Omlouváme se za nepříjemnosti a jsme rádi, že zůstáváte s námi.
