ThreatFabric, spoločnosť zaoberajúca sa kybernetickou bezpečnosťou z Amsterdamu, ktorá sa špecializuje na hrozby pre finančný priemysel identifikovala trójsky kôň „Cerberus“, ktorý ukradne dvojfaktorové autentifikačné kódy (2FA) generované aplikáciou Google Authenticator pre internetové bankovníctvo, e-mailové účty a krypto-burzy.
Americká krypto-burza Coinbase je jednou z platforiem uvedených v dlhom zozname cieľov trojana Cerberus – zahŕňa aj významné finančné inštitúcie na celom svete a aplikácie sociálnych médií. Cerberus bol aktualizovaný začiatkom roka 2020.
Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou poznamenáva, že v súvislosti s aktualizovanými funkciami Cerberusu neidentifikovala žiadnu reklamu na dark webe, čo vedie k domnienke, že aktualizovaná verzia je „stále v testovacej fáze, ale čoskoro bude vydaná“.
Správa ThreatFabric
V správe ThreatFabric sa uvádza, že trójsky kôň pre vzdialený prístup (RAT) „Cerberus“ bol prvýkrát identifikovaný na konci júna 2019, pričom nahradil trójsky kôň Anubis a stal sa hlavným produktom spoločnosti Malware-as-a-Service.
V správe sa uvádza, že Cerberus bol aktualizovaný v polovici januára 2020, pričom nová verzia zavádza možnosť ukradnúť 2FA tokeny z aplikácie Google Authenticator, ako aj PIN kód uzamknutia obrazovky zariadenia a vzory švihnutia.
Ako funguje Cerberus
Po nainštalovaní dokáže Cerberus stiahnuť obsah zariadenia a nadviazať spojenia, čím sa hackerom poskytne plný vzdialený prístup do zariadenia. Hodnotu RAT je možné potom použiť na prevádzku ľubovoľnej aplikácie na zariadení, vrátane aplikácií na výmenu peňazí a kryptomien.
„Funkcia umožňujúca odcudzenie poverení na uzamknutie obrazovky zariadenia (PIN a vzor uzamknutia) je zabezpečená jednoduchým prekrytím, ktoré vyžaduje aby obeť odomkla zariadenie. Z implementácie RAT môžeme vyvodiť záver, že táto krádež prihlasovacích údajov pre uzamknutie obrazovky bola vytvorená tak, aby hackeri mohli zariadenie na diaľku odomknúť keď obeť zariadenie nepoužíva. Tento postup poukazuje na kreativitu zločincov, ktorí vytvorili správne nástroje, aby boli úspešní.“
Bankové trójske kone sa čoraz viac zameriavajú na krypto aplikácie
Hydra a Gustaff
Správa tiež skúma ďalšie dva RAT, ktoré sa objavili po Anubise – „Hydra“ a „Gustaff“.
Gustaff sa zameriava na austrálske a kanadské banky, krypto peňaženky a vládne webové stránky zatiaľ čo spoločnosť Hydra nedávno rozšírila zameranie najmä na turecké banky a digitálne peňaženky.
Vrátane Cerberusu sa tieto 3 trójske kone zameriavajú na najmenej 26 zmenární a poskytovateľov úschovy. Medzi ciele patrí niekoľko lídrov v krypto sektore vrátane Coinbase, Binance, Xapo, Wirex a Bitpay, ktoré ponúkajú podporu pre vedúce kryptomeny vrátane bitcoinov (BTC), éteru (ETH) a bitcoin cash (BCH).
Ako sa chrániť
Potenciálnou obranou proti Cerberusu je použitie fyzického autentifikačného kľúča na zabránenie vzdialeným útokom. Tieto kľúče vyžadujú, aby hacker mal k dispozícii skutočné zariadenie, čo pomáha minimalizovať riziko úspešného útoku.
Zdroj: https://www.threatfabric.com/blogs/2020_year_of_the_rat.html
