Nyt botnet gør Microsoft Defender uanvendelig

Det burde ikke være muligt… men det er entydigt at Windows Defender ikke virker efter hensigten. Kraken botnettet kan nemlig nemt omgås Microsoft Defender og stjæle din kryptopenge, passwords og kreditkortinformationer m.v. Endvidere er det nemt at benytte en hjemmearbejdsplads til at få adgang til virksomheders netværk.

De fleste har nok troet at Windows Defender var sikker, men det er et af de mest usikre måder at beskytte sig på, hvis det er eneste lag af beskyttelse.

Som de fleste af jer måske allerede ved, harMicrosoft for nylig lavet en vigtig opdatering til tilladelseslisten, nemlig de såkaldte Window Defender exclusions. Der skal vøre muligt for at undgå at man scanner vise steder på ens harddisk. Men på grund af denne funktion har hackerne med Kraken i front, muligheder for at indkluderer sig selv i disse lister i databasen, fordi selve database transaktioner ikke er overvåget. Alle kan ændre i dem, uden at Windows Defender reagerer.

Som du kan forestille dig, dette er en betydelig ændring som cyberkriminelle ofte bruge disse oplysninger til at levere ondsindede malware inde i sådanne udelukkede mapper for at omgå Defender scanninger.

Kraken botnet viser at Windows Defender er et usikkert valg

Kraken tilføjer nemlig sig selv som en udelukkelse og dermed kan Kraken opererer uden at Windows Defender ser det, hvilket er en relativt enkel og effektiv måde at omgå Windows Defender-scanning på.

Selvom Kraken botnettet stadig er under aktiv udvikling, har det allerede mulighed for at downloade og udføre sekundære downloadede kommander, køre at køre shellkommandoer og tage skærmbilleder af ofrets system. Kraken gør i øjeblikket brug af SmokeLoader for at sprede sig, hurtigt at få hundredvis af bots hver gang en ny kommando og kontrol server er indsat.

Den sikkerhed team, der gjorde opdagelsen bemærkede også, at Kraken er primært en stealer malware, svarende til de mange falske hjemmesider hvor der kan downloades opdateringer.

Krakens evner omfatter nu evnen til at stjæle oplysninger relateret til brugernes cryptocurrency tegnebøger, der minder om den seneste falske KMSPico Windows-aktivator malware.

Botnets funktionssæt er forenklet til sådan software. Selvom det ikke er til stede i tidligere builds, er botten i stand til at indsamle oplysninger om den inficerede vært og sende den tilbage til kommando- og kontrolserveren (C2) under registreringen.

De indsamlede oplysninger synes at variere fra bygge til bygge, selvom ZeroFox har observeret følgende bliver indsamlet:

  • Værtsnavn
  • Brugernavn
  • Build-id (TEST_BUILD_ + tidsstemplet for den første kørsel)
  • CPU-oplysninger
  • GPU-oplysninger
  • Operativsystem og version

Hvis du vil vide mere om dette ondsindede botnet, og hvordan du bedre kan beskytte dig mod angreb, skal du sørge for at læse den fulde ZeroFox-diagnosticering.

Flere kampagner kører aktivt nu

Denne nye form for Golang-baseret botnet er under aktiv udvikling i flere kampagner. Botnettet har nu fanget hundredvis af Windows-enheder, hver gang operatørerne implementerer en ny kommando- og kontrolserver.

Det var Zerofox forskerne der fandt dette botnet i oktober 202, og dengang blev botnettet døbt Kraken. Det på det tidspunkt ukendte botnet bruger benytter sig af en SmokeLoader bagdør og selvee malwaren downloader sig til at sprede sig til nye Windows-systemer.

Efter at have smittet en ny Windows-enhed tilføjer botnetet en ny registreringsdatabasenøgle for at opnå vedholdenhed mellem genstart af systemet. I den forbindelse tilføjes en Microsoft Defender-udelukkelse for at sikre, at installationsmappen aldrig scannes, og dermed skjules den binære fil i Window Explorer effektivt ved hjælp af den skjulte attribut.

Kraken har dog et begrænset og forenklet funktionssæt, dette er med vilje, fordi det er muligt for angribere at downloade og udføre yderligere ondsindede kommander på kompromitterede enheder, herunder bl.a. RedLine Stealer malware.

RedLine er i øjeblikket den mest benyttede informationstyv, der i høj derfor anvendes til industriel spionage på patenter f.eks. men de kriminelle bruger den nu til at stjæle adgangskoder, browsercookies, kreditkortoplysninger og kryptovaluta tegnebogsoplysninger fra WALLETS.

“Overvågningskommandoer som der er sendt til Kraken ofre fra oktober 2021 til december 2021 afslørede, at operatøren udelukkende havde fokuseret på at stæle oplysninger – specifikt med RedLine Stealer,”

“Det er i øjeblikket ukendt, hvad operatøren har til hensigt at gøre med de stjålne legitimationsoplysninger, der er blevet indsamlet, eller hvad det endelige mål er for at skabe denne nye botnet.”

“Mens kraken C2s er under udvikling, ser det ud til, at de ofte forsvinder. ZeroFox har observeret svindende aktivitet fra en server ved flere lejligheder, kun for at en anden bliver vist kort tid senere ved hjælp af enten en ny port eller en helt ny IP adresse,”

Yderligere tilføjer forskerne at “ved at bruge SmokeLoader til at sprede, Kraken hurtigt kommer der hundredvis af nye bots hver gang operatøren ændrer C2.”

siger ZeroFox forskerne

Indbyggede funktioner til tyveri af kryptopunge

Botnettet har dog også indbyggede funktioner til tyveri af krypto-tegnebøger både fra minere og kryptovaluta investorer. Man skal derfor være 100% på vagt og søge i databasen efter de omtalte udelukkelser, for så er man inficeret.

Kraken evner i øjeblikket at stjæle oplysninger fra

  1. Zcash
  2. Armory
  3. Bytecoin
  4. Electrum
  5. Ethereum
  6. Exodus
  7. Guarda
  8. Atomic og
  9. Jaxx Liberty krypto tegnebøger.

Baseret på oplysninger ovre fra Ethermine, der udbyder kryptovaluta mining, har de oplyst at der tilføjes omkring USD 3.000 hver måned til den formoede bagmands kryptowallet, hvilket kunne tyde på skimming der kun tager lidt penge fra mange wallets, men det kan ikke udelukkes at der er ofre der har mistet alt.

Kilde: Hackernews og ICARE.DK
Fotokredit: Adobe Stock og ICARE.DK

Cybersikkerhed & Nyheder