PureLogs ukryty w obrazach PNG

TL;DR

PureLogs pokazuje, że phishing z fakturą może być początkiem wieloetapowej infekcji, a nie tylko próbą wyłudzenia hasła. Według FortiGuard Labs kampania zaczyna się od wiadomości z motywem faktury i archiwum TXZ. Po rozpakowaniu uruchamiany jest JavaScript, który ukrywa polecenia w zmiennych środowiskowych, wywołuje PowerShell i prowadzi do loadera PawsRunner. Ten z kolei pobiera obraz PNG i wyciąga z niego zaszyfrowany payload ukryty metodą steganografii.

Steganografia w takim scenariuszu polega na ukryciu złośliwej zawartości w pliku, który wygląda jak zwykły obraz. Dla użytkownika i części narzędzi bezpieczeństwa pobranie PNG może wyglądać mniej podejrzanie niż pobranie pliku wykonywalnego. Dla atakującego to sposób na rozdzielenie etapów infekcji i utrudnienie analizy.

Dla firm najważniejszy wniosek jest praktyczny: testy phishingowe i program awareness muszą obejmować nie tylko kliknięcie w link. Trzeba ćwiczyć reakcję na załączniki, nietypowe archiwa, faktury pod presją czasu, pobieranie plików i szybkie zgłoszenie zdarzenia do IT lub SOC.

Faktura jako punkt wejścia do infekcji

Motyw faktury jest jednym z najbardziej naturalnych pretekstów w firmowym phishingu. Pracownicy finansów, zakupów, administracji, sprzedaży i biura obsługi regularnie odbierają dokumenty od kontrahentów. Jeżeli wiadomość wygląda jak pilna faktura, korekta, zamówienie albo przypomnienie o płatności, użytkownik może potraktować ją jako zwykłą część pracy.

W kampanii opisanej przez Fortinet pierwszym krokiem jest phishingowy e-mail z archiwum TXZ. To nietypowy format w codziennej komunikacji biurowej, ale właśnie takie elementy bywają pomijane, gdy wiadomość buduje presję czasu. Użytkownik nie myśli wtedy o formacie archiwum. Myśli o tym, że faktura ma zostać sprawdzona, opłacona albo przekazana dalej.

To dobry przykład, dlaczego phishing nie powinien być tłumaczony wyłącznie jako fałszywa strona logowania. W realnych atakach wiadomość może uruchamiać dłuższy proces: archiwum, skrypt, PowerShell, loader, obraz PNG, infostealer i komunikację z C2, czyli command and control. C2 to infrastruktura sterowania złośliwym oprogramowaniem i odbierania danych.

Gdzie użytkownik powinien zatrzymać proces

W tym scenariuszu momentów zatrzymania jest kilka. Pierwszy pojawia się przy nieoczekiwanej fakturze. Drugi przy nietypowym formacie załącznika. Trzeci przy konieczności rozpakowania archiwum. Czwarty przy uruchomieniu pliku skryptowego. Każdy z tych momentów powinien uruchomić pytanie: czy naprawdę wiem, od kogo pochodzi dokument i czy sprawdziłem go poza wiadomością?

Użytkownik nie musi wiedzieć, czym jest PawsRunner ani jak działa steganografia. Musi wiedzieć, że faktura z nietypowym archiwum nie powinna być rozpakowywana na własną rękę. W organizacji powinien istnieć prosty kanał zgłoszenia takiej wiadomości. Jeżeli pracownik nie wie, gdzie ją przesłać, częściej będzie próbował samodzielnie rozstrzygnąć sprawę.

W testach phishingowych dla firm taki scenariusz warto odtworzyć w bezpiecznej formie. Nie chodzi o dostarczenie złośliwego pliku, ale o sprawdzenie, czy użytkownik zatrzyma się przy nietypowym załączniku, czy zgłosi wiadomość i czy nie przerobi jej na wewnętrzne zadanie dla kolejnej osoby.

Infostealer jest problemem dla całej organizacji

PureLogs jest infostealerem. Oznacza to, że jego celem jest kradzież danych z urządzenia i aplikacji użytkownika. Według opisu kampanii może interesować się przeglądarkami, ciasteczkami, tokenami sesyjnymi, portfelami kryptowalutowymi, komunikatorami, menedżerami haseł, klientami poczty, narzędziami VPN i innymi aplikacjami.

To oznacza, że incydent nie kończy się na komputerze jednej osoby. Skradzione tokeny i ciasteczka mogą umożliwić dostęp do kont bez klasycznego logowania. Dane z komunikatorów mogą pomóc w dalszym phishingu. Hasła i pliki konfiguracyjne mogą dać dostęp do usług firmowych. Jeżeli użytkownik pracuje na komputerze służbowym, skutki prywatnego lub pozornie zwykłego kliknięcia mogą szybko stać się problemem organizacji.

Dlatego SOC nie powinien pytać tylko, czy użytkownik kliknął. Ważniejsze pytania brzmią: czy uruchomił plik, jakie procesy powstały później, czy działał PowerShell, czy pojawiły się połączenia HTTPS do nietypowych hostów, czy w logach widać próbę wykradania danych i czy trzeba unieważnić sesje użytkownika w usługach chmurowych.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik otrzymał podejrzaną fakturę, ale nie otworzył załącznika, powinien zgłosić wiadomość do IT lub SOC i zachować ją do analizy. Nie należy przekazywać jej dalej jako zadania do realizacji. Jeżeli faktura może być prawdziwa, należy potwierdzić ją u kontrahenta znanym kanałem, nie przez dane kontaktowe z wiadomości.

Jeżeli archiwum zostało pobrane lub rozpakowane, ale nic nie uruchomiono, zespół techniczny powinien zabezpieczyć pliki, sprawdzić ich typ, hash i zawartość w kontrolowanym środowisku. Jeżeli uruchomiono skrypt, JavaScript, instalator albo dokument z makrami, urządzenie należy traktować jako potencjalnie naruszone.

Przy podejrzeniu infostealera potrzebna jest szybka reakcja: izolacja endpointa, analiza procesów, logów EDR, DNS i proxy, sprawdzenie katalogu pobrań, AppData, zadań harmonogramu oraz komunikacji sieciowej. Równolegle trzeba rozważyć zmianę haseł i unieważnienie aktywnych sesji w usługach, z których użytkownik korzystał na tym urządzeniu.

Jak ćwiczyć odporność na taki scenariusz

Ten typ ataku warto wykorzystać w programie awareness, bo dobrze pokazuje różnicę między wiedzą a zachowaniem. Użytkownik może znać definicję phishingu, a mimo to otworzyć archiwum, jeśli wiadomość wygląda jak pilna faktura. Ćwiczenie powinno więc mierzyć nie tylko kliknięcie, ale też reakcję na załącznik, próbę pobrania, zgłoszenie, czas reakcji i eskalację do właściwego zespołu.

W security awareness program scenariusze faktur, archiwów i nietypowych formatów powinny wracać cyklicznie. Jedna kampania pokazuje obraz bazowy. Dopiero kolejne kampanie pokazują, czy pracownicy zmieniają zachowanie, czy rośnie liczba zgłoszeń i czy spada liczba osób, które uruchamiają pliki bez weryfikacji.

Wniosek

PureLogs ukryty za fakturą, archiwum TXZ i obrazem PNG pokazuje, że dzisiejszy phishing potrafi wyglądać jak zwykły proces biurowy. Atakujący nie potrzebuje spektakularnego komunikatu. Wystarczy dokument, pośpiech i użytkownik, który sam uruchomi kolejne etapy.

Najlepsza zasada operacyjna jest konkretna: faktura z nietypowym archiwum nie jest dokumentem do szybkiego otwarcia, tylko zdarzeniem do weryfikacji. Organizacja powinna ćwiczyć ten nawyk regularnie, bo w takim ataku różnica między kliknięciem a zgłoszeniem może oznaczać różnicę między pojedynczym mailem a kradzieżą sesji, haseł i danych.