Złośliwe oprogramowanie typu cookie stealer, jak możemy się bronić.

Kilka dni temu za sprawą youtubera “Linus Tech Tips” trochę głośniej zrobiło się o oprogramowaniu typu “cookie stealer”. Twórca utracił dostęp do kanału, na którym to zaczęły pojawiać się treści oszustów. Zacznijmy jednak od początku.

Czym są ciasteczka?

Ciasteczka są wykorzystywane przez aplikacje sieciowe do pozyskiwania informacji o użytkowniku. Pozwalają one w prosty sposób zapisywać ich preferencje w celu lepszego dostarczania treści lub służą do przechowywania danych służących do identyfikacji użytkownika.

Głównym typem ciasteczek wykorzystywanych w omawianym ataku są ciasteczka sesji. Być może zastanawiałeś się, dlaczego po zalogowaniu na danej stronie internetowej przez długi czas, nie musisz robić tego ponownie.

Mechanizmem odpowiedzialnym za tą funkcjonalność są właśnie ciasteczka. Mają one formę pliku tekstowego i przechowywane są na komputerze użytkownika. 

  1. Użytkownik podaje login i hasło na stronie internetowej (uwierzytelnia się).
  2. Serwer zapisuje sesje we własnej bazie danych, tworzy unikalny identyfikator i przesyła go do użytkownika.
  3. Użytkownik przechowuje ciasteczka w aplikacji internetowej.
  4. Użytkownik i serwer potwierdzają swoją tożsamość za pomocą przechowywanych informacji.

Wszystko działa dobrze, o ile ktoś nie uzyska dostępu do naszego identyfikatora.

Czym jest oprogramowanie “Cookie stealer”?

Złośliwe oprogramowanie “cookie stealer” służy do kradzieży przedstawionych wyżej informacji. Zastosowanie tego rodzaju ataku pozwala na ominięcie zabezpieczeń w postaci hasła i każdego innego dodatkowego składnika logowania.

Użycie skradzionego identyfikatora sesji sprawia, że atakujący z punktu widzenia strony internetowej udowodnił już swoją tożsamość i nie musi robić tego ponownie aż do jej wygaśnięcia.

Kradzież ciasteczek nie jest niczym nowym, podobnie jak rodzaj oszustwa. Jest to jednak jedno z najbardziej popularnych zagrożeń ostatnich lat, także udany atak na rozpoznawalnego twórcę jest idealnym momentem do omówienia problemu :).

Jak przebiegają tego typu ataki?

Kradzież ciasteczek wymaga instalacji przez ofiarę złośliwego oprogramowania (pomijając ewentualne błędy aplikacji). Jest to pierwszy i najtrudniejszy etap wymagany do przeprowadzenia ataku.

Atakujący musi nas przekonać do zaufania i pobrania malware. W przypadku youtuberów i większości firm najczęściej oprogramowanie dystrybuowane jest drogą mailową np. pod postacią oferty współpracy.

https://youtu.be/nYdS3FIu3rI

Dosyć częstą praktyką jest sztuczne powiększanie pliku w celu uniemożliwienia analizy zawartości w aplikacjach typu virustotal.

W następnym etapie dochodzi do usunięcia filmów, zmiany nazwy kanału, uruchomienia transmisji live, by ostatecznie reklamować oszustwa za pośrednictwem chatu.

Atak jest na tyle popularny, że znalezienie przykładu przejętego kanału zajmuje około 10 sekund (wpiszcie na YouTube “tesla” i ustawcie filtrowanie po transmisjach live.)

Drugą popularną metodą dystrybucji są, fałszywe reklamy. 

https://www.bleepingcomputer.com/news/security/google-ads-push-virtualized-malware-made-for-antivirus-evasion/

W tym przypadku wystarczy, że ofiara nie korzysta z adblocka oraz nie zauważyła znacznika “Ad”.

Jak się bronić przed takimi atakami.

Po pierwsze, świadomość metody ataku i zdrowy rozsądek. Jeżeli jakaś oferta jest bardzo korzystna, sprawdź ją dokładnie, jeżeli jest ona limitowana czasowo i wymaga od ciebie szybkiej decyzji, również sprawdź ją dokładnie, nie ulegaj presji.

Po drugie, bądź na bieżąco. Warto od czasu do czasu przejrzeć strony zajmujące się opisywaniem zagrożeń w sieci. Jeżeli zdajesz sobie sprawę z metod ataku, to znacznie zwiększasz szanse ich wykrycia.

Po trzecie, sprawdzaj, co pobierasz. “PDF” z ofertą ważący 700MB jest już na starcie podejrzany.

Po czwarte sprawdzaj, skąd pobierasz, korzystaj z oficjalnych stron producenta, ignoruj reklamy odsyłające do produktu.

Czy antywirus rozwiązuje problem?

Odpowiedź brzmi, różnie bywa.

Czasami w szczególności w przypadku wszelkiego “pirackiego” oprogramowania atakujący może korzystać ze znanego złośliwego oprogramowania. Wychodząc z wniosku, że ofiara sama wyłączy antywirusa myśląc, że jest to wynik fałszywie pozytywny (gdyż tak często wykrywane są cracki do programów).

Jednak często mamy do czynienia z konkretnym kierunkowym atakiem na jakąś grupę osób z wykorzystaniem nowego słabo wykrywalnego oprogramowania specjalnie przetestowanego pod kątem automatycznego wykrywania przez silniki antywirusowe.

Celem jest więc zainfekowanie jak największej liczby osób w jak najkrótszym czasie, zanim to firmy antywirusowe zareagują, dodając zagrożenie do listy.

W takim przypadku mimo aktywnego oprogramowania antywirusowego nasza pomyłka doprowadzi do utraty konta.

No dobrze a co jak mimo czujności obawiam się że popełnię błąd?

Powiedzmy sobie szczerze, czasem możemy mieć gorszy dzień i omyłkowo w ten czy inny sposób uruchomić złośliwe oprogramowanie. Co więc zrobić, aby zminimalizować szanse udanego oszustwa.

Izolacja środowisk

Warto zaopatrzyć się w komputer przeznaczony do pracy i taki przeznaczony do całej reszty. Ewentualnie utworzyć oddzielne profile użytkownika.

Oprogramowanie typu HIPS (Host-based Intrusion Prevention System)

Służy ono do dynamicznego kontrolowania działających na urządzeniu procesów i blokowania dostępu wszelkim aplikacjom wykazującym podejrzane działanie.

Wiąże się to niestety z dużą liczbą fałszywych wykryć, które użytkownik musi ręcznie odblokować. Tego typu rozwiązanie zapewnia choćby Eset. (ważne jest ustawienie wysokiej czujności)

Oprogramowanie wykorzystujące “białe listy”

Jest to niezbyt popularna metoda zabezpieczenia komputera (choć częściowo jest wykorzystywana w standardowych pakietach antywirusowych), polega ona na tworzeniu listy dopuszczonych aplikacji i automatycznym blokowaniu wszystkich innych. Po zablokowaniu istnieje możliwość sprawdzenia programu za pomocą zewnętrznych aplikacji, by ostatecznie ręcznie dodać go do zaufanych lub odrzucić.

Nietrudno domyślić się, dlaczego jest to rzadko używana metoda, minusem są bardzo duże ilości fałszywych wykryć, plusem jest minimalizacja ryzyka przypadkowego aktywowania programu. Tego typu rozwiązanie zapewnia choćby voodooshield.

Oprogramowanie automatycznie izolujące nieznane aplikacje.

Inną metodą jest połączenie białych list z sandboxem. Metoda polega na automatycznym uruchomieniu aplikacji niespełniających danych warunków w odizolowanym od głównego systemu środowisku.

W przypadku najpopularniejszego rozwiązania tego typu “comodo Auto-Sandbox” domyślne reguły wyglądają następująco. 

  1. Sprawdź, czy plik jest na liście zagrożeń, jeżeli tak to zablokuj jeżeli nie to:
  2. Sprawdź, czy plik jest na liście bezpiecznych plików jeżeli tak to uruchom normalnie jeżeli nie to:
  3. Uruchom plik w odizolowanym środowisku na urządzeniu użytkownika i prześlij go do analizy w chmurze.

Plusem tego rozwiązania jest możliwość sprawdzenia działania danego programu, wszelkie nieznane aplikacje zostają więc odcięte od “prawdziwego systemu” jednocześnie pozwalając na ich użytkowanie.

Scroll to Top