Користувачі Mac і Windows піддалися зараженню своїх ПК через оновлення ПЗ, які були доставлені через зламаного інтернет-провайдера

Автор: Влад Черевко | 07 серпня 2024, 14:12

Дослідники з компанії Volexity виявили, що хакери використовували злам одного інтернет-провайдера для поширення шкідливого ПЗ серед користувачів Windows і Mac.

Що відомо

Атака полягала у зламі маршрутизаторів або аналогічних пристроїв інфраструктури провайдера. Далі зловмисники використовували контроль над пристроями для маніпуляції відповідями системи доменних імен легітимних хостів, розповсюджуючи оновлення принаймні для шести різних застосунків Windows і macOS, включно з 5KPlayer, Quick Heal, Rainmeter, Partition Wizard, а також Corel і Sogou.

Оскільки механізми оновлення не використовували TLS або криптографічні підписи, зловмисники змогли перенаправити користувачів на свої сервери, навіть якщо ті використовували публічні DNS-сервіси, як-от Google або Cloudflare.

Схема, що ілюструє хід атаки зловмисників зі StormBamboo

Хакери, відомі як StormBamboo, використовували DNS-підміну для доставки шкідливих файлів, які потім завантажували додаткові шкідливі компоненти. Наприклад, застосунок 5KPlayer завантажував підроблений файл Youtube.config, який містив шкідливе ПЗ MACMA для macOS або POCOSTICK для Windows. Ці програми надавали хакерам повний доступ до пристроїв, включно із записом екрана, аудіо та клавіатури.

Volexity також виявила, що хакери використовували DNS-підміну для захоплення домену Microsoft, використовуваного для перевірки інтернет-з'єднання. Це дало їм змогу перехоплювати HTTP-запити та направляти їх на свої сервери. Дослідники попереджають, що такі атаки можуть тривати й рекомендують використовувати DNS over HTTPS або TLS для захисту.

Про якого інтернет-провайдера йдеться - фахівці не повідомили, сказавши лише, що "це не величезний інтернет-провайдер, або той, про який ви, ймовірно, знаєте".

Джерело: ArsTechnica