Заразяването със злонамерен код, който краде логин-данни, вече е самостоятелна “професия”: трафер (снимка: CC0 Public Domain)
Киберпрестъпността съществува в много и различни нюанси – фишинг, спам, рансъмуер… Вече се знае, че в този бизнес има професионални роли и строга бизнес йерархия, но за някои от профилите в „икономиката“ на киберпрестъпността не се знае нищо: траферите.
Трафери… Не са трапери, по-скоро са трафиканти. Нов доклад на Sekoia хвърля светлина върху дейността на траферите.
Какво е трафер?
Траферите — от руската дума „траффер“, или още „работник“ – са киберпрестъпници, отговорни за пренасочването на мрежовия трафик на интернет потребителите към съдържание, което те управляват, като това съдържание през повечето време е злонамерен софтуер.
Траферите обикновено са организирани като екипи и целят да компрометират уебсайтове, за да отвлекат трафика и да доведат посетителите при своето злонамерено съдържание. Те могат да създават уебсайтове, за да обслужват въпросната цел.
Както беше разкрито от изследователи на Sekoia, екосистемата на траферите е изградена и от висококвалифицирани специалисти, и от нови „роли“, което я прави добра входна точка за начинаещите в киберпрестъпността.
Всеки месец от 2022 година са формирани средно по 5 до 22 нови екипа от трафери, според данни от подземния форум „lolz Guru“. Веднъж създаден, екипът на траферите може да се развие и реорганизира, да се слее с други екипи или да започне от нулата, което затруднява оценката на „дълготрайността“ на траферските групи.
Екипите могат и да се продават, подобно на спортните знаменитости. Един администратор на подобен екип споделя, че му е струвало 3000 долара да създаде група от 600 души, преди да я продаде.
Методи
Най-значимата част от дейността на траферите се състои в пренасочване на интернет потребителите към злонамерен софтуер, 90% от който се състои от програми за кражба на информация. Информацията, открадната от злонамерения софтуер, може да включва валидни идентификационни данни за онлайн услуги, за пощенски кутии, за портфейли за криптовалути или пък информация за кредитни карти. Всички те се наричат „логове“.
Администраторите на екипа могат да продават логове на други киберпрестъпници, които пък на свой ред използват данните за извличане на финансова печалба по различни начини.
Администраторите са отговорни и за обработката на злонамерения софтуер, от който се нуждаят, закупуване на лицензи от разработчиците на злонамерен софтуер и разпространението сред екипа.
Администраторите осигуряват на членовете на своите екипи комплект, съдържащ различни ресурси:
- Постоянно актуализирани файлове със злонамерен софтуер (наричани още „версии на злонамерен софтуер“), готови за употреба.
- Услуга или инструмент за криптиране, необходим за шифриране или маскиране на файловете със злонамерен софтуер.
- Наръчник и насоки за трафери.
- Услуга за оптимизация за търсачки с цел подобряване на видимостта и броя на връзките към съответната инфраструктура.
- Чат-канал за лесна комуникация между членовете на екипа.
- Специализирана услуга за анализ на логове, за да се гарантира, че логовете, продавани от администраторите, са валидни.
Веднъж наети, траферите могат да получат файловете със злонамерен софтуер и да ги разпространяват чрез пренасочвания от компрометирани уебсайтове. Те получават заплащане въз основа на качеството и количеството информация, която събират посредством злонамерения софтуер, който внедряват.
Траферите често биват предизвиквани в състезания, организирани от администраторите. Победителите получават допълнителни пари и достъп до „професионална“ версия на членството. Този достъп им позволява да използват второ семейство злонамерен софтуер, да получават по-добри услуги и бонуси.
Всеки трафер използва своя собствена верига за доставка, стига да отговаря на изискванията на екипа. Според Sekoia, обичайните методи включват уебсайтове, маскирани като блогове или страници за инсталиране на софтуер, и доставят архивни файлове, защитени с парола, за да се избегне откриването. Опитните трафери изглежда имат много добри познания за рекламните платформи и успяват да популяризират своите уебсайтове чрез подобни услуги.
Веригата за заразяване 911
По-голямата част от екипите на трафиканти, наблюдавани от Sekoia, всъщност използват метод, наречен „911“ в подземните форуми. Състои се от използване на откраднати профили в YouTube за разпространение на връзки към злонамерен софтуер, контролиран от траферите.
Траферът използва профила, за да качи видеоклип, който примамва посетителя да изтегли файл, да деактивира Windows Defender и да го изпълни. В повечето случаи видеото касае кракване на софтуер. Клипът обяснява как да продължите и предоставя връзки към инструменти за инсталиране на кракнат софтуер, генериране на лицензен ключ или измама в различни видео-игри.
След като бъдат изпълнени, файловете заразяват компютъра със злонамерения софтуер. Самият той обикновено се съхранява в легитимни услуги за обмен на файлове като OneDrive, Discord или GitHub. В повечето случаи това е защитен с парола архивен файл, който съдържа злонамерен софтуер.
Видове злонамерен софтуер
Най-използваните от траферите злонамерени програми за кражба на информация, според Sekoia, са Redline, Meta, Raccoon, Vidar и Private Stealer. От тях Redline се счита за най-ефективния крадец, тъй като има достъп до идентификационни данни от уеб браузъри, портфейли за криптовалути, локални системни данни и няколко приложения.
Redline позволява на администраторите лесно да проследяват дейността на трафера. Откраднатите данни, добити чрез използването на Redline, се продават на множество пазари.
Meta е нов злонамерен софтуер и се рекламира като актуализирана версия на Redline, превръщайки се в предпочитан за някои екипи на трафери.
Предпазване
Заплахата може да е насочена както към физически лица, така и към компании. Специалистите препоръчват да се внедрят решения за сигурност и антивирусни системи на всички крайни точки и всички сървъри на компанията. Операционните системи и всичкият софтуер също трябва да се поддържат актуални и да се коригират, за да се предотврати заразяването им чрез използване на популярни уязвимости.
Потребителите трябва да бъдат обучени да откриват фишинг-заплахи и всячески да избягват използването на кракнат софтуер. Когато е възможно, трябва да се използва многофакторно удостоверяване. Трафер, който проверява валидността на откраднатите идентификационни данни, може просто да се откаже, ако логовете са неизползваеми без втори канал за удостоверяване.