Našli jste v e-mailu papriku? Na malware PowerPepper upozorňuje firma Kaspersky

• Dostali jste e-mail s obrázkem papriky či kapradí? Mějte se na pozoru!
• Jedná se o nový druh malwaru, který vám může napadnout počítač
• V sázce je hlavně ztráta citlivých firemních informací

Online svět je pořádně drsné místo a denně vznikají různé elektronické hrozby v podobě virů, malwarů a podobných věcí. Nejnovější nebezpečí se jmenuje PowerPepper, přišlo od známé skupiny DeathStalker a cílí hlavně na citlivá firemní data. Tento nový malware nemusí odhalit ani antivir a na pozoru by se měly mít firmy, které nemají robustní zabezpečení. S odhalením „papričky“ a varováním přišla společnost Kaspersky.

Problém od známé firmy

Skupina DeathStalker je v oblasti kyberzločinu velmi známá, funguje od roku 2012 a minimálně co do počínání je v oblasti APT (Advanced Persistent Threats) poměrně specifická. Cílí hlavně na menší či střední podniky a v jejím hledáčku jsou v první řadě právní kanceláře a firmy pohybující se ve finančním sektoru. Většina APT skupin se vyznačuje motivací v politice či snahou o zisk společností, které napadá.

Banda DeathStalker ale nikoliv, je to spíše takový zprostředkovatel, který nabízí za úplatu své nelegální služby třetím stranám. A právě k tomuto účelu byl vyvinut malware PowerPepper.

Paprika může pálit i ve světě jedniček a nul

Nový malware pojmenovaný PowerPepper se ukrývá ve zdánlivě neškodném obrázku kapradí či papričky (odtud to označení) a po kliknutí na něj je extrahován skriptem zavaděče. Hlavní část škodlivého kódu je ukryta pomocí steganografie, tedy procesu, který útočníkům umožňuje skrýt data mezi legitimní obsah zprávy.

Jakmile dojde k extrahování, PowerPepper se spustí a začne plnit příkazy zasílané skupinou DeathStalker přes vzdálený server. Cílem je samozřejmě ukrást citlivá firemní data a malware umí v napadeném systému vykonávat jakýkoliv shellový příkaz. Zvládá třeba i průzkum souborů sdílených na síti, stahování binárních knihoven nebo kopírování obsahu do vzdálených úložišť. Zkrátka ideální prostředek pro špionáž.

Umí se skvěle maskovat a nemusí ho odhalit ani antivir

Příkazy k akci přicházejí prostřednictvím komunikace DNS přes HTTPS (DoH), což velmi efektivně maskuje škodlivé počínání, protože ji vydává za legitimní dotazy na název serveru. To ale není všechno, zavaděč je maskovaný jako ověřovací nástroj GlobalSign (poskytovatel služeb ověřování identity), využívá vlastní způsob krytí a části škodlivých skriptů jsou maskovány v objektech vložených do Wordu.

Díky využití šifrování a důvěryhodných skriptů si na odhalení tohoto nebezpečí může vylámat zuby i sebelepší antivir. Hlavní působiště malwaru je v Evropě, ale byly zaznamenány i útoky v Americe a Asii.

Pokud se chcete před útokem PowerPepper chránit, určitě si přečtěte následující doporučení od bezpečnostních expertů firmy Kaspersky:

• Je nutné, aby měl váš SOC tým (Security Operations Center) k dispozici přístup k aktuálním informacím o známých hrozbách (Threat Intelligence, TI). Portál společnosti Kaspersky o aktuálních kybernetických hrozbách Kaspersky Threat Intelligence Portal poskytuje firmám potřebné informace o TI, údaje o kybernetických útocích a zkušenosti, jež společnost Kaspersky získala během víc než 20 let své existence.
• Kvůli minimalizaci rizika napadení prostřednictvím phishingových e-mailů by firmy měly své zaměstnance vzdělávat pomocí základního školení o prevenci a kybernetickém zabezpečení, aby si dávali pozor na e-maily od neznámých odesílatelů. Pokud takový e-mail dostanou, neměli by otevírat jeho přílohy ani klikat na jakékoli odkazy, které mohou obsahovat škodlivý kód, pokud si nebudou naprosto jisti, že e-mail je legitimní.
• K ochraně středně velkých firem před takto pokročilými hrozbami je lepší používat řešení pro ochranu koncových bodů s funkcí EDR (Endpoint Detection and Response čili detekcí hrozeb v koncových bodech a následnou reakcí). Řešení společnosti Kaspersky s názvem Integrated Endpoint Security dekuje útok a poskytuje širokou škálu možných reakcí optimalizovaných pro IT týmy a bezpečnostní oddělení středně velkých firem.