נוזקה חדשה ובלתי שגרתית הפציעה בשמי הסייבר

נוזקה חדשה ובלתי שגרתית התגלתה באחרונה על ידי חוקרי אינטזר ו-X-Force של יבמ.

הנוזקה, מסוג כופרה, זכתה לכינוי PureLocker – כיוון שהיא נכתבה בשפת התכנות PureBasic והיא מצוידת בכמה תכונות חמקנות. פושעי הסייבר שמאחורי PureLocker מפיצים גם גרסת לינוקס שלה, כדי לתקוף את תשתיות הלינוקס של הקורבנות הארגוניים.

על פי צוות החוקרים המשותף לשתי החברות, כמה גורמים הופכים את PureLocker ללא קונבנציונאלית, ביניהם העובדה ש-PureBasic היא שפה שמפתחים לא מרבים לעשות בה שימוש – מה שמניב יתרונות מסוימים עבור התוקפים. כך, למשל, ספקיות אבטחת מידע מתקשות לייצר חתימות איתור אמינות עבור סוגים שונים של הנוזקה, בעוד שהקוד שלה עובר בקלות בין מערכות הפעלה שונות, לרבות Windows, לינוקס ו-Mac.

החוקרים ציינו כי גילו עדויות המצביעות על כך שהכופרה היא חלק ממתקפה ממוקדת ורב שלבית, שעוברת שורה של בדיקות, על מנת לבדוק שהיעד "מוכן" ו-"בשל" להיפרץ – לפני שנעשה בה שימוש. שיטה סמויה זו כוללת בדיקות האם המכונות המותקפות מעודכנות בעדכוני גרסאות של 2019 והאם ניתן להשיג הרשאות אדמין. אם הבדיקות נכשלות, הנוזקה יוצאת מבלי לבצע פעילות זדונית – על מנת להסתיר את הפונקציונליות שלה.

"במקום לנסות להדביק כמה שיותר – כוונות מוסתרות"

"מדובר בכופרה חריגה", אמר מייקל קג'ילוטי, חוקר מאינטזר. "במקום לנסות להדביק כמה שיותר קורבנות, היא תוכננה ונבנתה כך שיוסתרו הכוונות והיכולות שלה, אלא במקרה שהוחלט שעליה לתקוף". לדבריו, "גישה זו עבדה היטב עבור התוקפים, שהשכילו להשתמש בה בהצלחה לתקיפות ממוקדות, תוך שהם נותרים סמויים במשך כמה חודשים".

מאפיין נוסף ולא שגרתי של PureLocker הוא השימוש בטכניקה נגד לכידה (Anti hooking), על מנת להתחמק מהגילוי.

הנוזקה אף אינה משתמשת בפונקציות ה-API המובנות והמוצפנות של חלונות, אלא מסתמכת על ספרייה מוצפנת משלה, מבוססת שפת PureBasic – לדרישות ההצפנה הספציפיות שלה. "התנהגות שכזו אינה שכיחה בכופרות, שכן האקרים בדרך כלל מעדיפים להדביק כמה שיותר קורבנות בתקווה להרוויח כמה שיותר כסף", ציין קג'ילוטי, "בנוסף, היא מגיעה בשלב מאוחר של המתקפה מרובת השלבים."

החוקרים ציינו כי לכופרה יש קשרים עם הנוזקה more_eggs – דלת אחורית שנמצאה למכירה בדארק ווב, בתצורה של MaaS – נוזקה כשירות. more_eggs נמצאת בשימוש אצל קבוצות האקרים ידועות, כמו כנופיית קובלט, 6FIN וארגוני פשע סייבר בולטים אחרים. העובדה שקוד ההתחמקות ופונקציונליות הניתוח של PureLocker מועתקים ישירות מהדלת האחורית של more_eggs מאפשרת לה להישאר בלתי מורגשת על ידי מערכות ניתוח אוטומטיות.