Slevová nabídka pro více licencí
Databáze hrozeb Malware Zadní vrátka DRILLAPP

Zadní vrátka DRILLAPP

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT), Zadní vrátka
Přeložit do:

Analytici kybernetické bezpečnosti identifikovali novou hrozbu zaměřenou na ukrajinské organizace, přičemž indikátory naznačují zapojení aktérů spojených s Ruskem. Aktivita, poprvé pozorovaná v únoru 2026, vykazuje technické překrývání s předchozí operací připisovanou skupině známé jako Laundry Bear (sledované také jako UAC-0190 nebo Void Blizzard). Tato dřívější kampaň se zaměřila na ukrajinské obranné síly a nasadila malware s názvem PLUGGYAPE.

Nejnovější operace představuje backdoor založený na JavaScriptu, který se spouští prostřednictvím prohlížeče Microsoft Edge. Malware, který výzkumníci označují jako DRILLAPP, je navržen tak, aby zneužíval funkce prohlížeče k nahrávání a stahování souborů, přístupu k mikrofonu a zachycování obrázků z webové kamery oběti.

Útočníci se k distribuci škodlivých komponent spoléhají na taktiky sociálního inženýrství. Návnady odkazující na právní záležitosti nebo charitativní účely se používají k povzbuzení obětí k otevření škodlivých souborů a zahájení infekčního řetězce.

Klamavé návnady a metoda počáteční infekce

Kampaň byla pozorována ve dvou odlišných variantách. První verze, detekovaná začátkem února 2026, používá jako počáteční mechanismus doručení soubor zástupce systému Windows (LNK). Po spuštění zástupce vytvoří soubor HTML aplikace (HTA) v dočasném adresáři systému. Tento soubor HTA poté načte vzdálený skript hostovaný na legitimní službě pro sdílení pastefy.

Aby útočníci zachovali trvalost na napadených systémech, zkopírují škodlivý soubor LNK do složky Po spuštění systému Windows a zajistí jeho automatické spuštění po každém restartu systému. Jakmile se spustí řetězec infekce, obětem se zobrazí adresy URL obsahující návnadové šablony, včetně pokynů týkajících se instalace Starlinku nebo odkazů na ukrajinskou charitativní organizaci Come Back Alive Foundation.

Soubor HTA se nakonec spustí v prohlížeči Microsoft Edge v bezhlavém režimu, což prohlížeči umožňuje spustit obfuskovaný skript načtený z Pastefy bez zobrazení standardního okna prohlížeče.

Zneužívání parametrů prohlížeče pro nenápadný přístup

Aby škodlivý proces maximalizoval své možnosti, spouští prohlížeč Edge s několika parametry, které oslabují vestavěné bezpečnostní ochrany a umožňují neoprávněný přístup k citlivým systémovým prostředkům.

Tyto parametry umožňují instanci prohlížeče obejít typická ochranná opatření a provádět akce, které jsou normálně omezeny bezpečnostními modely prohlížeče. Tato konfigurace efektivně umožňuje malwaru přistupovat k lokálním souborům, zaznamenávat zvukové a obrazové streamy a nahrávat aktivitu na obrazovce, aniž by vyžadovala jakoukoli interakci ze strany oběti.

Mezi klíčové parametry prohlížeče použité při útoku patří:

--no-sandbox

--zakázat-web-zabezpečení

--povolit-přístup-k-souborům-ze-souborů

--use-fake-ui-for-media-stream

--automatický-výběr-zdroje-snímání-obrazovky=true

--disable-user-media-security

Zneužitím těchto nastavení se prohlížeč stává funkční součástí infrastruktury malwaru, nikoli pouze platformou pro jeho doručování.

Možnosti backdooru a sledování v prohlížeči

Artefakt DRILLAPP funguje jako lehký, ale všestranný backdoor. Jakmile je aktivní, umožňuje útočníkům interagovat s infikovaným systémem prostřednictvím funkcí prohlížeče, čímž efektivně transformuje prohlížeč na nástroj pro vzdálený dohled.

Malware je schopen provádět několik operací, které umožňují rozsáhlé monitorování a sběr dat z napadených zařízení.

Mezi klíčové funkce patří:

  • Nahrávání a stahování souborů z lokálního systému
  • Nahrávání zvuku přes mikrofon zařízení
  • Nahrávání videa přes webkameru
  • Pořizování snímků obrazovky systémového displeje
  • Generování unikátního otisku prstu zařízení pomocí technik snímání otisků prstů na plátně

Během svého prvního spuštění malware generuje otisk zařízení a používá Pastefy jako „dead-drop resolver“ k načtení adresy WebSocket používané pro komunikaci command-and-control. Tato architektura umožňuje útočníkům dynamicky přesměrovávat infikované systémy do jejich operační infrastruktury.

Backdoor také přenáší otisk prstu zařízení spolu s odvozenou geografickou polohou oběti. Poloha je určena z časového pásma systému a porovnána s předdefinovaným seznamem, který zahrnuje Spojené království, Rusko, Německo, Francii, Čínu, Japonsko, Spojené státy, Brazílii, Indii, Ukrajinu, Kanadu, Austrálii, Itálii, Španělsko a Polsko. Pokud časové pásmo neodpovídá žádné z těchto oblastí, malware standardně identifikuje systém jako nacházející se ve Spojených státech.

Vyvíjející se techniky ve druhé variantě kampaně

Druhá verze kampaně se objevila koncem února 2026 a zavedla několik úprav, přičemž si zachovala celkovou strukturu útoku. Aktualizovaná varianta místo spoléhání se na soubory zástupců LNK používá jako počáteční mechanismus pro doručování moduly Ovládacích panelů systému Windows.

Samotná komponenta backdoor se dočkala funkčních vylepšení. Tato vylepšení umožňují malwaru provádět hlubší operace se souborovým systémem a zlepšují jeho schopnost získávat data z infikovaného prostředí.

Mezi pozoruhodná vylepšení patří rekurzivní výčet souborů, dávkové nahrávání souborů a možnost stahovat libovolné soubory přímo do napadeného systému.

Obcházení omezení JavaScriptu pomocí ladicích nástrojů Chromium

Standardní bezpečnostní omezení JavaScriptu obvykle brání vzdálenému kódu v přímém stahování souborů do systému oběti. Aby útočníci toto omezení obešli, využívají protokol Chrome DevTools Protocol (CDP), což je interní ladicí rozhraní používané prohlížeči založenými na Chromiu.

Přístup k CDP je možný pouze tehdy, když je prohlížeč spuštěn s povoleným parametrem --remote-debugging-port. Aktivací této ladicí funkce získají útočníci možnost programově ovládat chování prohlížeče a obejít typická omezení na straně klienta, což umožňuje vzdálené stahování souborů, které by jinak byly blokovány.

Ukazatele raného vývoje a experimentální infrastruktura

Důkazy naznačují, že malware je stále ve fázi aktivního vývoje. První varianta objevená 28. ledna 2026 komunikovala výhradně s doménou „gnome.com“, místo aby načítala svůj primární datový obsah z Pastefy.

Toto chování naznačuje, že útočníci stále zdokonalují jak svou infrastrukturu, tak operační schopnosti zadních vrátek.

Zneužívání prohlížeče jako nová strategie úniku

Jedním z nejvýznamnějších aspektů kampaně je záměrné použití webového prohlížeče jako primárního prostředí pro spuštění backdooru. Tento přístup zdůrazňuje rostoucí trend, kdy útočníci znovu využívají legitimní software, aby se vyhnuli odhalení.

Prohlížeče poskytují několik výhod pro škodlivé operace. Jsou široce používány a obvykle jsou považovány za neškodné procesy, což snižuje pravděpodobnost okamžitého podezření. Parametry ladění prohlížeče navíc mohou odemknout výkonné funkce, které umožňují jinak omezené akce, jako je vzdálené stahování souborů a rozsáhlý přístup k systému.

Prohlížeče si navíc udržují legitimní oprávnění k interakci s citlivými hardwarovými prostředky, včetně mikrofonů, kamer a mechanismů pro snímání obrazovky, což útočníkům umožňuje provádět sledovací aktivity a zároveň splynout s běžným chováním systému.

Trendy

Nejvíce shlédnuto

Načítání...