Fake updates kategorija malware-a

Lažna ažuriranja softvera predstavljaju značajnu prijetnju u svijetu računalne sigurnosti. Kroz ovaj rad analizirani su njihovi različiti aspekti, od taktika koje kriminalne skupine koriste za obmanjivanje korisnika, preko specifičnih malware-a poput BitRAT-a i Lumma Stealer-a.

Posebno zabrinjavajući trend je sofisticiranost modernih preuzimača (eng. downloaders) poput SocGholish-a, RogueRaticate-a i ClearFake-a, koji koriste napredne tehnike maskiranja i kako bi neprimjećeno preuzeli druge maliciozne programe na računalo koje su zarazili. Natjerati korisnika da njegovo računalo dohvati i pokrene jedan od tih preuzimača jest glavni cilj fake updates reklama i poruka.

Analiza povijesnih slučajeva, poput CCleaner incidenta i NotPetya napada, pokazuje da čak ni legitimni kanali distribucije ažuriranja nisu potpuno sigurni. Ovo dodatno naglašava važnost višeslojnog pristupa sigurnosti koji kombinira tehnička rješenja s educiranjem krajnjih korisnika.

Za učinkovitu zaštitu od ovih prijetnji ključno je pridržavati se sigurnosnih praksi, koristiti samo službene kanale za ažuriranje softvera, implementirati robusna sigurnosna rješenja te kontinuirano educirati korisnike o prepoznavanju i izbjegavanju potencijalnih prijetnji. Posebnu pozornost treba posvetiti činjenici da moderni internetski preglednici implementiraju automatska ažuriranja, što znači da svako ručno preuzimanje paketa za ažuriranje treba izbjegavati.

Samo kombinacijom tehničkih mjera zaštite i podizanja svijesti korisnika možemo se učinkovito suprotstaviti ovoj rastućoj prijetnji digitalnoj sigurnosti.

Ključne riječi: lažna ažuriranja, malware, preuzimači (downloaders), BitRAT, Lumma Stealer, RogueRaticate, ClearFake, internetski preglednici, socijalni inžinjering, ransomware

Održavanje softvera ažurnim predstavlja ključnu komponentu dobre računalne sigurnosne higijene. Međutim, često se susrećemo s lažnim obavijestima o ažuriranju koja se pojavljuju na našim računalima, najčešće tvrdeći da je potrebno hitno ažurirati internetski preglednik.

Ovo spada u fake updates kategoriju malware-a, što su maliciozni programi čiji je cilj preuzeti i pokrenuti različite vrste drugih zlonamjernih programa na uređaju korisnika, a da pritom on misli kako se odvija legitimna nadogradnja sustava ili aplikacija.

Kada korisnik posjeti malicioznu web stranicu, najčešće se automatski pokreće preuzimanje zlonamjernog softvera. Napadači koriste razne JavaScript/HTML trikove i društveni inžinjering kako bi kontrolirali promet i uspješno isporučili malware na računalni sustav žrtve [1]. UNC1543 je jedna od značajnijih hakerskih skupina koja je poznata upravo po ovakvom načinu djelovanja.

Kriminalci koriste niz taktika kako bi uvjerili korisnike da preuzmu zlonamjerni softver maskiran kao legitimna nadogradnja. Namjerno ciljaju redovno ažurirane softverske proizvode (poput operacijskog sustava) kako bi smanjili sumnju kod korisnika.

Često se koriste skočni (pop-up) prozori koji se pojavljuju tijekom surfanja, potičući korisnike da ažuriraju svoj softver. Ove lažne poruke uglavnom sadrže agresivan jezik poput “Vaš sustav je kritično zastario!” i postavljaju umjetne rokove kako bi stvorili osjećaj hitnosti, što je nerijetko iskombinirano sa štopericom koja odbrojava vrijeme. Nakon što korisnik klikne poruku/oglas, preusmjerava se na zlonamjernu web stranicu.

Jedna od njihovih primarnih metoda zavaravanja je lažno predstavljanje kao pouzdani pružatelji usluga poput Windowsa, Adobea ili Googlea. Pri tome kopiraju dizajn legitimnih web stranica i koriste prepoznatljive elemente kao što su ikone, logotipi i stilizirani gumbi, što je vidljivo na 1. slici. Tako dizajnirane stranice otvaraju na varljivim domenama, poput “google.updates.cloud”, te je za očekivati da će puno ljudi steći dojam vjerodostojnosti.

Slika 1. Primjer lažne obavijesti o potrebnom ažuriranju - često izgledaju jako uvjerljivo izvor

Raspon zlonamjernih aktivnosti kreće se od relativno bezazlenog adwarea koji preplavljuje uređaj oglasima, pa sve do značajno opasnijih prijetnji poput ransomwarea koji zaključava datoteke dok se ne plati otkupnina. Mnogi zlonamjerni programi traže dodatne dozvole za pristup datotekama ili postavkama, pratvarajući se da je to potrebno za uspješno ažuriranje.

Jedna od primarnih meta kriminalaca je pristup .NET funkciji poznatoj kao Common Language Runtime (CLR), koja omogućava virtualne strojeve aplikacija koje upravljaju sigurnošću, memorijom i rukovanjem izuzecima.

Nakon što dobiju pristup, napadači često implementiraju tehnike poput sniffinga i keylogginga za prikupljanje osjetljivih podataka kao što su korisnička imena, lozinke i brojevi kreditnih kartica. Uz krađu podataka, popularno je malware koristiti i za rudarenje kriptovaluta bez znanja vlasnika, daljinsko upravljanje sustavom te stvaranje botnet mreže - šireći zlonamjerni kod kroz zaraženo računalo na druge sustave.

U nedavnim trendovima posebno se ističu dva značajna malwarea koji se distribuiraju putem lažnih ažuriranja web preglednika - BitRAT i Lumma Stealer (aka LummaC2). Uz njih, u rastućem trendu je i FakeBat.

BitRAT je sofisticirani RAT (Remote Access Trojan) koji napadačima omogućuje rudarenje kriptovaluta, preuzimanje dodatnih zlonamjernih programa i daljinsko upravljanje zaraženim računalima.

S druge strane, Lumma Stealer (aka LummaC2), koji se na crnom tržištu nudi po cijeni od 250 do 1000 dolara mjesečno, vrlo je dobar za krađu podataka iz web preglednika (kolačića, lozinki, podataka sa kartica….) i kripto novčanika. Gotovo je neprimjetan, što ga je učinilo jednim od najraširenijih kradljivaca podataka u 2023. godini. Koristi razne taktike za izbjegavanje obrane - prepoznaje odvija li se u virutalnom okruženju, prati korisnikovo djelovanje unutar sustava te enkriptira svoju izvršnu datoteku kako bi spriječio reverse engineering i proučavanje njegovog djelovanja. Jedan od načina njegovog širenja prikazan je na 2. slici.

Slika 2. Primjer procesa kojim Lumma Stealer dospijeva na korisnikovo računalo izvor

Preuzimači (eng. downloaders) predstavljaju posebnu kategoriju zlonamjernog softvera koji, iako često sami po sebi nisu izravno štetni, za primarnu zadaću imaju pristupiti sustavu i na njega preuzeti istinski zlonamjerne komponente. U kontekstu fake updates malware-a, lažne obavijesti o ažuriranju nastoje korisnika potaknuti na preuzimanje upravo tih preuzimača.

Među najistaknutijim downloaderima koji se koriste u kampanjama lažnih nadogradnji su SocGholish, RogueRaticate i ClearFake.

• SocGholish je downloader napisan u JavaScriptu koji se distribuira putem kompromitiranih ili zlonamjernih web stranica. Koristi lažne nadogradnje preglednika kao mamac za korisnike. Nakon inicijalne zaraze, napadači koriste različite alate poput Cobalt Strike-a i PowerShella za krađu informacija. SocGholish može dovesti do daljnjih komplikacija, uključujući instalaciju NetSupport alata za daljinski pristup, AsyncRAT-a, pa čak i ransomwarea.

• RogueRaticate pokazuje značajne sličnosti sa SocGholish kampanjom. Također je pisan u JavaScriptu i distribuira se na isti način. Njegov payload dolazi u obliku HTML aplikacijske datoteke koja je komprimirana ili se preuzima kao prečac. Kao i SocGholish, koristi PowerShell za daljnju eksploataciju, posebice za instalaciju NetSupport alata za daljinski pristup.

• ClearFake je noviji malware, otkriven u kolovozu 2023., koji u HTML kompromitiranih web stranica ubacuje base64-kodirane skripte (jedan takav primjer je vidljiv na 3. slici). Također koristi PowerShell, a pruzima dodatne zlonamjerne programe poput Lumma Stealer-a, Redline-a i Racoon V2. Nedavno je otkrivena nova varijanta koja navodi korisnike da ručno kopiraju, zalijepe i izvrše zlonamjerni PowerShell kod pod izgovorom nadogradnje preglednika. Web stranica prikazuje lažnu something went wrong while displaying this webpage poruku i sugerira instalaciju root certifikata kroz niz koraka, koji uključuje kopiranje i pokretanje obfusciranog PowerShell koda. Taj kod zatim čisti DNS cache, prikazuje obavijest, preuzima dodatni maliciozni kod i instalirava LummaStealer [2].

Slika 3. Primjer de-obfusciranog koda koji se izvrši u početnoj fazi napada ClearFake-om izvor

Lažna ažuriranja sve učestalije dolaze s dodatnim zlonamjernim teretom koji se preuzima uz preuzimač, što je prikazano na 4. slici. Prema podacima MS-ISAC-a (Multi-State Information Sharing and Analysis Center), u razdoblju od srpnja do studenog 2023. godine zabilježen je porast tri vrste sekundarnog tereta.

Najzastupljeniji među njima bio je NetSupport alat za daljinski pristup. Iako je riječ o legitimnom alatu koji IT stručnjaci koriste za pružanje tehničke podrške, kibernetički napadači su ga počeli zloupotrebljavati. Nakon instalacije, napadači mogu pristupati i prenositi datoteke, instaliravati malware, prikupljati podatke i vjerodajnice, mijenjati postavke računala, izvoditi izviđanje i lateralno se kretati kroz mrežu.

Drugi po učestalosti je AsyncRAT, također legitimni alat otvorenog koda namijenjen daljinskom nadzoru. Napadači ga koriste za špijuniranje žrtvinog računala kroz značajke poput pregleda/snimanja zaslona, keyloggera i promjene lozinki. Uz to, nudi sve kao i NetSupport, što se također zloupotrebljava.

Najmanji udio sekundarnog zlonamjernog tereta čini Lumma Stealer, malware već objašnjen u prethodnim poglavljima. On najčešće ne dolazi u prvom paketu, već ga preuzme preuzimač nakon što zarazi uređaj [2].

Slika 4. Vidimo da raste broj sekundarnih tereta koje fake updates stranice preuzimaju uz preuzimač izvor

Tipičan obrazac distribucije zlonamjernog softvera poput BitRAT-a, LummaStealer-a i FakeBat-a započinje preusmjeravanjem korisnika na lažnu, ali vjerodostojno izgledajuću stranicu za preuzimanje. Na toj stranici nalazi se poveznica koja automatski preuzima ZIP arhivu (obično nazvanu Update.zip) na korisnikov uređaj.

Značajno je spomenuti da zlonamjerni akteri često koriste Discord kao vektor napada, što potvrđuje i nedavna Bitdefenderova analiza koja je otkrila više od 50.000 opasnih poveznica koje distribuiraju malware putem te platforme.

Unutar preuzete ZIP arhive nalazi se JavaScript datoteka (Update.js) koja pokreće izvršavanje PowerShell skripti. Ove skripte su zadužene za dohvaćanje dodatnih zlonamjernih sadržaja s udaljenog poslužitelja, uključujući BitRAT i Lumma Stealer, koji su maskirani kao PNG slikovne datoteke. Istim mehanizmom preuzimaju se i dodatne PowerShell skripte koje osiguravaju perzistentnost malwarea na sustavu, kao i .NET učitavač koji služi za pokretanje finalnog zlonamjernog koda [3].

Pregled ovakvog procesa vidljiv je na 5. slici.

Slika 5. Vizualizacija čestog redoslijeda radnji koje dovode maliciozne programe na uređaje izvor

Iako su legitimna ažuriranja softvera ključna za sigurnost sustava, povijest nam pokazuje da čak i ona mogu postati sredstvo za distribuciju zlonamjernog koda.

Jedan od najpoznatijih primjera je slučaj CCleaner-a, popularnog software-a za čišćenje sustava. Hakeri su tijekom šestomjesečnog razdoblja uspjeli infiltrirati mrežu i dobiti pristup ključnim poslužiteljima, zamijenivši originalnu verziju softvera zlonamjernom inačicom koju je preuzelo čak 2,3 milijuna korisnika [4].

Još dramatičniji primjer dogodio se u Ukrajini, gdje su hakeri infiltrirali tvrtku Medoc koja razvija računovodstveni softver. Ubacivanjem zlonamjernog koda u ažuriranja softvera, koji koristi oko 80% ukrajinskih korporacija, stvorili su podlogu za kasniji NotPetya napad. Ovaj je napad prvo paralizirao ukrajinske komunalne tvrtke i javne korporacije, da bi se kasnije proširio globalno [5]. Više detalja o njegovom širenju prikazuje 6. slika.

Posebno zabrinjavajući aspekt zlonamjernih ažuriranja je potencijalna uloga vladinih agencija. Američka unija za građanske slobode (ACLU) objavila je izvješće koje opisuje kako vladini agenti možda mogu prisiliti programere na stvaranje ili ugradnju zlonamjernog koda u legitimna ažuriranja [6]. Ovo postaje sve vjerojatnije kako tvrtke pojačavaju enkripciju korisničkih podataka.

Ilustrativan primjer je slučaj Apple-a, čije je zaposlenike FBI zatražio da im pomognu otključati iPhone masovnog ubojice. Apple je to odbio, te kasnije još dodatno zakrpao sigurnosni propust kojeg su organi reda rutinski koristili za izvlačenje podataka sa uređaja [7].

Ako državni sustavi postanu takvi da tvrtke po nalogu obavještanih agencija moraju implementirati zatražene mehanizme za izvlačenje korisničkih podataka, očekivano je da će ljudi namjerno prestati ažurirati programe koje koriste, a to je iznimno važno zbog sigurnosnih zakrpa. Time će, naravno, te zastarjele verzije postati laka meta za napadače.

Slika 6. Detektirani pokušaji NotPetya ransomware napada izvor

Fake updates napadi vrlo su rašireni i zahvačaju veliki broj korisnika interneta, što je vizualizirano na 7. slici. Zaštita od tih lažnih ažuriranja započinje osnovnim pravilom - potrebno je koristiti isključivo službene web stranice za nadogradnju software-a. Važno je imati na umu da se moderni internetski preglednici poput Chrome-a, Brave-a, Edge-a i Firefox-a automatski ažuriraju kada nove nadogradnje postanu dostupne ili to omogućuju kroz gumb unutar svojeg sučelja. Ručno preuzimanje i izvršavanje paketa za ažuriranje nikada nije dio legitimnog procesa nadogradnje.

Kod pojave sumnjivog prozora za ažuriranje, potrebno je obratiti pozornost na nekoliko ključnih znakova. Lažni skočni prozori često imaju nedosljednosti u dizajnu, pikselizirane slike, tipfelere ili loše formatiran tekst. Preporučljivo je zadržati pokazivač miša iznad skočnog prozora ili bilo kojih poveznica - URL adresa bi se trebala podudarati sa softverom ili uslugom koju navodno predstavlja.

U slučaju susreta s potencijalno malicioznim prozorom za ažuriranje, potrebno ga je odmah zatvoriti. Ne preporučuje se klikanje nigdje unutar njega zbog mogućih lažnih gumba za zatvaranje. Jednako vrijedi i za oglas/poruku koji otvara malicioznu stranicu. Umjesto toga, treba koristiti tipke “X” koje su dio sučelja preglednika ili upravitelj zadataka. Ako se primijeti da računalo radi sporije ili se pojavljuju neželjeni oglasi i dodaci pregledniku koji nisu instalirani, to su znakovi da je malware možda već prisutan na sustavu.

Za prevenciju napada preporučuje se instalacija i redovito ažuriranje antivirusnih programa i anti-spyware alata. Organizacije mogu koristiti napredna rješenja poput GeoEdge-a, koji agregira podatke s različitih razina i holistički procjenjuje prijetnje kako bi otkrio lažna ažuriranja. GeoEdge također omogućuje izdavačima implementaciju koda koji u stvarnom vremenu presreće zlonamjerne oglase i zamjenjuje ih legitimnima [8].

Konačno, ključno je educirati zaposlenike o metodama socijalnog inženjeringa i potaknuti ih da prijavljuju sumnjive aktivnosti sigurnosnom timu. Time se stvara dodatni sloj zaštite protiv sve sofisticiranijih napada lažnim ažuriranjima.

Slika 7. Malware varijante korištene za provođenje fake updates napada zauzele su prva četiri mjesta na popisu: SocGholish, LandUpdate808, ClearFake i ZPHP. Zajedno su činile 77% infekcija malwareom u 3. tromjesečju 2024. izvor

Analiza fenomena lažnih ažuriranja softvera otkriva složenu sigurnosnu prijetnju koja kombinira naprednu tehnologiju s manipulativnim tehnikama socijalnog inženjeringa. Razvoj sofisticiranih malware-a poput BitRAT-a i Lumma Stealer-a, uz moderne preuzimače kao što su SocGholish i ClearFake, pokazuje kontinuiranu evoluciju ovih prijetnji. Dodatnu zabrinutost stvaraju povijesni slučajevi kompromitiranih legitimnih ažuriranja poput CCleaner incidenta, koji narušavaju povjerenje u sam proces nadogradnje softvera.

Učinkovita obrana od ovih prijetnji zahtijeva kombinaciju tehničkih rješenja i edukacije korisnika. Posebno je važno širiti svijest o činjenici da moderni preglednici implementiraju automatska ažuriranja, zbog ćega je svaki zahtjev za ručnim preuzimanjem paketa sumnjiv. Samo takvim višeslojnim pristupom možemo se nadati uspješnoj zaštiti od ove rastuće prijetnje digitalnoj sigurnosti.

Video prezentacija ovog rada dostupna je ovdje.

[1] https://malpedia.caad.fkie.fraunhofer.de/details/js.fakeupdates

[2] https://www.cisecurity.org/insights/blog/ctas-leveraging-fake-browser-updates-in-malware-campaigns

[3] https://thehackernews.com/2024/06/beware-fake-browser-updates-deliver.html

[4] https://thehackernews.com/2018/04/ccleaner-malware-attack.html

[5] https://en.wikipedia.org/wiki/2017_Ukraine_ransomware_attacks

[6] https://www.aclu.org/how-malicious-software-updates-endanger-everyone#step-4-lawyer-up

[7] https://en.wikipedia.org/wiki/Apple–FBI_encryption_dispute

[8] https://www.geoedge.com/university/fake-software-update/

[9] https://about.att.com/pages/cyberaware/ar/browser-malware

[10] https://oit.utk.edu/security/learning-library/article-archive/beware-of-fake-update-pop-ups/

[11] https://www.titanhq.com/blog/beware-hackers-distribute-malware-as-fake-software-updates/

[12] https://www.bleepingcomputer.com/news/security/fake-browser-updates-spread-updated-warmcookie-malware/