Skadevare spres på mange forskjellige måter, og en av dem er utnyttelse av programmer og verktøy som i utgangspunktet er legitime. Nå har sikkerhetsselskapet Check Point Research gjort nye funn i denne kategorien.
Sikkerhetsselskapet opplyser på nettsidene sine at de har identifisert trusselaktører som sprer ondsinnet programvare på det europeiske kontinentet ved hjelp av verktøy som markedsføres som legitime.
Selskapet definerer fenomenet som en ny, faretruende trend.
«Legitimt» overvåkningsverktøy
Et av verktøyene saken dreier seg om denne gangen heter Remcos, utviklet av et selskap ved navn Breaking Security – som markedsfører seg selv som et cybersikkerhetsselskap.
Remcos er en programvare som markedsføres for legitime fjernstyrings- og overvåkingsformål, som setter brukere i stand til å kontrollere en datamaskiner fra én terminal, og som har en rekke ulike funksjoner. Verktøyet er ifølge utvikleren også beregnet på penetreringstesting av sikkerhetssystemer.
Check Point Research hevder imidlertid at de har observert programvaren i flere phishing-kampanjer og annen ondsinnet aktivitet som benytter seg av programvarens egen funksjonalitet. Ifølge sikkerhetsselskapet kan programmet blant annet brukes til «mann-i-midten-angrep», passordtyveri, sporing av nettleserhistorikk, tyveri av informasjonskapsler, tastelogging og webkamera-kontroll.
Remcos sprer seg hovedsakelig via falske Microsoft-dokumenter og via andre nedlastingsprogrammer, og spredningen har tatt seg kraftig opp den siste tiden. I Check Points trusselrapport for juli måned hadde Remcos klatret til tredjeplass over de hyppigste truslene, og ligger nå foran den mye omtalte Emotet-skadevaren.
Sikkerhetsforskere: Populær meldingsapp skjuler farlig skadevare
Skjules av annet program
Ifølge Check Point rammer Remcos rundt 2,8 prosent av organisasjoner i utdannings- og forskningssektoren globalt per måned.
Remcos-programvaren skal være relativt enkel å oppdage med antivirusprogrammer, men den benytter seg av en annen programvare for å skjule seg – nemlig GuLoader, også kjent som CloudEye. Denne markedsføres også som en legitim programvare, som blant annet brukes til å beskytte kjørbare filer mot hacking, modifisering og kopiering.
Også CloudEye er blitt observert i en rekke cyberangrep, og i Check Points trusselrapport for juli måned lå denne programvaren på syvendeplass over de hyppigste truslene. CloudEye-skadevaren rammer rundt 2,4 prosent av bedrifter i finans- og banksektoren globalt, men i Europa rammer den så mye som 4,7 prosent av bedrifter.
Check Points etterforskning har konkludert med at både Remcos og GuLoader/CloudEye distribueres av den samme trusselaktøren, identifisert som «EMINэM», og verktøyene markedsføres og selges åpenlyst. Den tilsynelatende legitimiteten til programmene er imidlertid kun en fasade, ifølge sikkerhetsselskapet.
Distributøren svarer
Breaking Security, som står bak distribusjonen av Remcos, har interessant nok lagt ut til tilsvar på Check Point sin forskning på sine nettsider.
Selskapet hevder de aldri har støttet ondsinnet utnyttelse av programmene deres. Alle rapporterer om ulovlig bruk av programvaren etterforskes, og brukere som har brukt verktøyene ulovlig får lisensen bannlyst.
Selskapet sier de imidlertid er klar over at sikkerhets- og penetreringsverktøy alltid har en risiko for ondsinnet utnyttelse.
Selskapet peker også på at de har et gratis avinstallasjonsverktøy tilgjengelig, som kan brukes til å skanne systemer for programmet og enkelt avinstallere det,
Sikkerhetsforskere advarer mot «lynraskt» utpressingsvirus
