Reklámprogramnál veszélyesebb támadás
A Huntress biztonsági cég kutatói március végén fedezték fel a támadási hullámot, amikor potenciálisan nemkívánatos programokat (PUP) észleltek több ügyfelüknél. Bár a reklámprogramokat jellemzően bosszantó felugró ablakokkal vagy átirányításokkal azonosítjuk, most olyan böngészők bukkantak fel, amelyek szofisztikált frissítési rendszerük révén rendszergazdai jogosultsággal telepítettek vírusirtó-eltávolító szkripteket. Ezeket a szoftvereket egy Dragon Boss Solutions LLC nevű cég írta alá, többek között olyan álböngészőket, mint a Chromstera, Chromnius vagy Web Genius, amelyeket több vírusirtó szintén potenciálisan nemkívánatos programként azonosít.
Védelmi rendszerek hatástalanítása
A támadók az említett böngészők frissítési mechanizmusát használták ki. Az MSI- és PowerShell-alapú telepítőcsomagok hangtalanul, emberi beavatkozás nélkül futottak le, SYSTEM jogosultsággal. Az MSI-csomag, amelyet kifejezetten megtévesztő módon GIF-képnek álcáztak, legitim DLL-ekkel dolgozott, amelyek PowerShell-szkripteket futtattak, ellenőrizték a vírusirtók jelenlétét, majd eltávolították azokat. Nem hagyható figyelmen kívül, hogy mindezt úgy végezték, hogy a felhasználók nem tudtak közbelépni — az automatikus frissítéseket sem lehetett kikapcsolni.
A rendszer felderítése során a szkriptek először adminisztrátori jogokat kértek, virtuális gépek után kutattak, majd internetkapcsolatot is ellenőriztek. A célzott vírusirtók között volt a Malwarebytes, a Kaspersky, a McAfee és az ESET. Eltávolításra egy ClockRemoval.ps1 nevű PowerShell-szkript szolgált, amely a böngészőket – Opera, Chrome, Firefox, Edge – is támadta, minden újraindításnál vagy harminc percenként ellenőrizve, hogy nincs-e aktív vírusirtó a gépen. Továbbá eltüntette az összes kapcsolódó fájlt, regisztrációs bejegyzést, leállította a szolgáltatásokat, sőt blokkolta az antivírusgyártók weboldalait is a hosts-fájl átírásával.
Iskoláktól kórházakig mindenki veszélyben
A Huntress a támadás során regisztrálta a fő vezérlődomaint, így sikerült több tízezer kompromittált gép kapcsolatát átirányítani. Azonosításuk szerint 324 magas értékű szervezet is érintett: 221 tanintézmény három kontinensen, 41 energiaszolgáltató vagy szállítási infrastruktúrát működtető cég, 35 önkormányzat vagy állami hivatal, 24 iskola és 3 egészségügyi szolgáltató, sőt több Fortune 500 vállalat is.
Továbbá az is kiderült, hogy a Dragon Boss Solutions weboldala már nem működik, elérhetőségük ismeretlen. A szakértők szerint a támadás komolyabb fenyegetést is jelenthet, hiszen az infrastruktúrán keresztül bármilyen kártékony kód terjeszthető több ezer védtelen gépre, már most működő „hátsó kapuval” (backdoor).
Mit tehet a rendszergazda?
Érdemes az MbRemoval vagy MbSetup nevű WMI-eseményeket, az időzített ClockRemoval vagy WMILoad feladatokat keresni, továbbá ellenőrizni a Dragon Boss Solutions által aláírt folyamatokat. Ajánlott a hosts-fájl vagy a Microsoft Defender kizárási listájának átnézése is, hogy ott nem szerepelnek-e gyanús bejegyzések (például DGoogle, EMicrosoft, DDapps), amelyek a védelem kijátszására utalnak.
