Haker o pseudonimie EMINэM jest współodpowiedzialny za zmasowane kampanie cyberprzestępcze wymierzone m.in. w europejskie firmy – ujawniają eksperci firmy Check Point Research. Dystrybuowane przez niego narzędzia „nadzoru informatycznego” już od wielu lat doskonale służą cyberprzestępcom. Zaledwie kilka dni temu CERT Polska ostrzegał przed falą cyberataków na polskie firmy, w której wykorzystywano jedno z narzędzi oferowanych przez EMINэMa.
Oferowane przez hakera EMINэM programy, oparte na złośliwym oprogramowaniu Remcos oraz GuLoader (znany także jako CloudEyE i TheProtect), reklamowane są w Internecie jako legalne narzędzia. W rzeczywistości wykorzystywane są w cyberatakach i stale znajdują się w czołówce najczęściej wykrywanego malware’u.
Według analiz dokonanych w oparciu o dane z ThreatCloud AI firmy Check Point, co miesiąc 1 na 41 organizacji finansowych jest dotknięta przez GuLoadera, a 1 na 35 organizacji edukacyjnych przez Remcosa. Jednocześnie w ostatnich dniach CERT Polska ostrzegał przed „groźną kampanią mailową” wycelowaną w polskich użytkowników, w której oszuści proszą o przesłanie oferty dla zamówienia rzekomo znajdującego się w załączniku. W rzeczywistości załącznik zawierał malware GuLoader, będący w marcu br. najpopularniejszym zagrożeniem w Polskiej sieci!
– Istnieje niepokojący trend polegający na ukrywaniu przez cyberprzestępców złośliwego oprogramowania w pozornie legalnym oprogramowaniu. Aby zwalczyć te nowe zagrożenia, organy ścigania, specjaliści ds. cyberbezpieczeństwa i szersza społeczność muszą połączyć siły, aby ujawnić i zneutralizować te zagrożenia – uważa Aleksander Chailytko, menedżer ds. cyberbezpieczeństwa, badań i innowacji w Check Point Research.
Ponad trzy lata od pierwszego wykrycia, GuLoader w dalszym ciągu stwarza problemy zarówno zwykłym użytkownikom, jak i twórcom oprogramowania antywirusowego. Warto przypomnieć, że GuLoader to inteligentny program, unikający detekcji, który wykorzystuje liczne techniki zapobiegające zarówno ręcznej, jak i automatycznej analizie.
Remcos to z kolei dobrze znane narzędzie do zdalnego nadzoru, sprzedawane w rzekomo legalnych celach śledzenia i monitorowania. Od jego pojawienia się w 2016 roku analitycy Check Pointa wielokrotnie wykrywali Remcosa w kampaniach phishingowych. Oprócz typowych funkcji narzędzia do zdalnej administracji, Remcos zawiera rzadkie funkcjonalności, takie jak możliwości man-in-the-middle (MITM), kradzież haseł, śledzenie historii przeglądarki, kradzież plików cookie, rejestrowanie naciśnięć klawiszy i kontrolę kamery internetowej. Funkcje te wykraczają poza typowy zakres RAT i sugerują bardziej inwazyjne i złośliwe zamiary.
Malware w sklepach internetowych
Analiza przeprowadzona przez Check Point Research ujawniła wyraźny związek między osobą znaną jako EMINэM a dwiema witrynami internetowymi: BreakingSecurity i VgoStore. Strony te otwarcie sprzedają Remcos i GuLoader, pod nazwą „TheProtect”. Analitycy zebrali również dowody zaangażowania firmy EMINэM w dystrybucję szkodliwego oprogramowania, w tym narzędzia do kradzieży informacji FormBook i narzędzia Amadey Loader.
Pozorna legalność BreakingSecurity, VgoStore i ich produktów to jedynie fasada. EMINэM i osoby stojące za tymi platformami są głęboko zakorzenione w społeczności cyberprzestępczej i wykorzystują swoje strony internetowe do nielegalnych działań i czerpania zysków ze sprzedaży szkodliwych narzędzi.
