Otvoríte si e-mail a zrazu zbadáte znepokojujúcu správu. Niekto vraj opakovane vytvára jednorazové prihlasovacie kódy k vášmu účtu a hrozí jeho napadnutie. Správa dokonca odporučí zmeniť si okamžite heslo. Priložený bezpečnostný dokument však v skutočnosti môže do počítača nainštalovať malvér, ktorý sleduje klávesnicu, nahráva zvuk a kradne súbory.
Za kampaňou má stáť skupina ScarCruft, známa aj ako APT37, ktorá je dlhodobo spájaná so Severnou Kóreou. Aktuálna vlna útokov momentálne prebieha predovšetkým v Južnej Kórei, no rovnaký modus operandi útočníci radi využívajú aj v ďalších štátoch. Neraz sa to stalo aj na Slovensku.
Útok je nebezpečný najmä tým, že správa nepôsobí ako obyčajný spam. Odosielateľom emailu je Microsoft Account a e-mail používa skutočné bezpečnostné rady. Príjemcu napríklad upozorňuje, aby nikomu neposkytoval nevyžiadaný overovací kód. O čom už email nehovorí je fakt, že doména odosielateľa s Microsoftom nemá nič spoločné.
Tvári sa ako návod na záchranu účtu
Predmet správy upozorňuje na opakované vytváranie jednorazových hesiel, známych ako OTP kódy. Používateľ sa má domnievať, že sa do jeho Microsoft účtu pokúša prihlásiť neznáma osoba. Podrobnosti a odporúčaný postup má údajne nájsť v priloženom bezpečnostnom dokumente.
Príloha sa vydáva za dokument vo formáte HWP, ktorý sa bežne používa v Južnej Kórei. V skutočnosti ide o ZIP archív obsahujúci súbor s príponou .lnk. Nejde o dokument, ale o skratku Windowsu schopnú spúšťať príkazy. Keď ju používateľ otvorí, spustí sa reťazec príkazov využívajúci PowerShell a ďalšie súbory. Útok následne stiahne ďalšie komponenty vrátane legitímneho balíka jazyka Python a následne spustí útok.
Škodlivý kód sa navyše vydáva za katalógový súbor Windowsu s príponou CAT. Počítač v ňom však v skutočnosti pravidelne spúšťa skompilovaný program v Pythone. Vytvorená naplánovaná úloha sa aktivuje každú minútu, takže jednoduché vymazanie pôvodnej prílohy už problém nevyrieši.
Malvér vidí, čo píšete, a počuje svoje okolie
Výsledkom nákazy je malvér NarwhalRAT. Skratka RAT označuje nástroj na vzdialený prístup, pomocou ktorého môže útočník ovládať infikovaný počítač a zadávať mu ďalšie príkazy.
NarwhalRAT dokáže zaznamenávať stlačené klávesy, a teda zachytiť aj zadávané prihlasovacie údaje. Vytvára snímky obrazovky vo vysokom rozlíšení, nahráva zvuk z mikrofónu, sleduje aktívne okná a zbiera obsah pripojených USB zariadení.
Útočník si napríklad môže vyžiadať aj obsah vybraných priečinkov, stiahnuť ďalšie súbory alebo na počítači spustiť vlastné príkazy. Ukradnuté údaje následne dočasne ukladá do skrytého priečinka s názvom „naverwhale“, aby pôsobil ako súčasť kórejského internetového prehliadača Naver Whale.
Ak ste podobný ZIP súbor otvorili, počítač odpojte od internetu a z iného, čistého zariadenia si zmeňte heslá. Následne spustite úplnú alebo offline kontrolu cez Microsoft Defender. Pri pracovnom počítači kontaktujte správcu siete, pretože malvér môže zostať aktívny prostredníctvom naplánovanej úlohy aj po zatvorení e-mailu.
