Creepware - Cine te urmrete?

John-Paul Power

Unii oameni lipesc o bucat de autocolant pe webcam-ul laptopului, poate i tu ar trebui s o faci. Or fi prea circumspeci, paranoici, un un pic ciudai? Tu eti? Sau exist un alt motiv n spatele acestei nebunii? Muli dintre noi au auzit poveti despre oameni spionai n timp ce foloseau propriile computere sau oameni antajai folosind montaje video jenante sau incriminante, nregistrate fr ca ei s tie, de pe webcam-uri compromise. Sunt aceste poveti adevrate, iar oamenii acetia ce par paranoici sunt ndreptii s fie circumspeci? Din pcate, rspunsul este da, precauia mpotriva acestui tip de activiti este necesar i exist o multitudine de programe ce pot fi folosite pentru acest tip de activitate maliioas i nu numai. Troienii ce pot fi accesai de la distan (Remote access Trojans RAT), sau ceea ce noi numim creepware, sunt programe ce se instaleaz fr ca victima s tie i permit unui atacator s aib acces i control de la distan asupra computerului compromis. n acest articol, intenionm s oferim o privire de ansamblu asupra creepware, descriind aceste ameninri i ce pot ele face, respectiv ce s-a fcut cu ele i care sunt implicaiile att n ceea ce le privete pe victime, ct i pe utilizatorii de creepware. Totodat, ncercm s oferim o privire asupra economiei din spatele creepware, examinnd piaa neagr ce se ocup cu tot ce nseamn vnzare de software i tranzacii cu victimele. Nu n ultimul rnd, vom arunca o privire asupra modului n care creepware-ul se rspndete i cum ne protejm mpotriva lui.

Ce este, mai exact, creepware?

Acronimul RAT este unul dintre cele mai folosite atunci cnd vorbim despre un software ce permite cuiva s controleze de la distan un computer. RAT poate fi o abreviere pentru urmtoarele: Remote Access/Administration Tool Remote Access/Administration Trojan

Singura diferen dintre remote access tools i remote access Trojans este aceea c cel din urm e instalat n mod clandestin, cu scopul intenionat de a face ru. Exist multe unelte de acces de la distan, folosite pentru motive legitime, precum suportul tehnic sau conectarea la un computer de acas sau de la serviciu n timpul cltoriilor etc. Din pcate, aceleai funcii folositoare din aceste unelte pot fi folosite pentru activiti maliioase, i o mare parte din malware a fost proiectat exact pentru asta. Aceste programe se numeste remote access trojans, nite cai troiani pentru accesare de la distan. Odat ce aceti trojani sunt instalai pe computerul unei victime, pot permite atacatorului s dein control aproape complet asupra acestuia. Prezena unui trojan este insesizabil, iar un atacator poate face aproape orice poate face utilizatorul aezat fizic n faa computerului, inclusiv s nregistreze video folosind webcam-ul. Cazuri recente foarte vizibile de astfel de comportament nfiortor i dezgusttor au fcut ca aceti trojani pentru acces de la distan s fie numii creepware. Creepware folosete un mode client-server, dar manevreaz dinamica obinuit, pe care o cunoatem, atunci cnd discutm despre un sistem client-server obinuit. Creepware modific acest proces i transform computerul victim ntr-un server, iar computerul atacatorului devine client. Odat ce computerul victimei e compromis cu creepware, un atacator poate trimite cereri de copiere de fiiere i poate transforma computerul-server n gazda unei ntregi serii de aciuni nu tocmai ortodoxe.

De ce e aa de important?
Dei a existat o perioad n care folosirea de creepware era relativ rar, din pcate, acum a devenit mult mai comun. Utilizatorii de creepware pot face parte din rndul celor ce fac bani din extorcare i fraud pn la cei ce folosesc acest tip de software pentru ceea ce lor li se pare distracie sau farse inofensive, altfel spus, trolling. Dei ambele activiti pot prea unor drept foarte diferite, ambele implic acces neautorizat la computere, ceea ce nu e doar greit din punct de vedere moral, ci i ilegal, o infraciune serioas. E ngrijortor c aspectul moral nu pare a fi foarte sus pe lista caracteristicilor utilizatorilor de creepware, un fapt ce este ostentativ de evident atunci cnd examinezi cu atenie multe forumuri online cu seciuni dedicate creepware-ului.

Imaginea 1. Pentru distracie

Imaginea 2. antajarea victimelor

Dei muli utilizatori ai acestor forumuri par s nu dispun de vreo busol moral, alii au o viziune extrem de oblic asupra aceea ce e bine sau ru. ntr-una dintre discuii, un utilizator justific folosirea RAT (cu creepware) n faa celorlali spunnd c e doar vina lor c au descrcat i instalat programe din surse ce nu prezint vreun grad de ncredere.

Imaginea 3. nvinovirea victimei

Alt utilizator al forumului crede c dac tot ce faci este s urmreti victima, fr ca ea s tie, atunci nu e nici o problem.

Imaginea 4. Explicnd invadarea intimitii

Cutn prin nenumrate postri despre creepware/remote access Trojans, poate prea c exist o nesfrit surs de utilizatori ce caut ajutor pentru a instala astfel de software i pentru a se apuca de RATing. Dei exist unii care se simt oarecum vinovai (dei ntr-o msur foarte mic) din cauza a ceea ce fac, majoritatea covritoare nu vede nimic ru n a invada intimitatea victimelor i, n unele cazuri, atragerea de foloase materiale de pe urma lor. ntr-un ir de postri intitulat Etica jocului cu oamenii, un utilizator i ntreab colegii hackeri dac ei cred c e bine ce fac.

Imaginea 5. Dilem moral

Rspunsurile vorbesc de la sine.

Imaginea 6. Moral bull****

Din nefericire, utilizatorii de creepware nu vd sau nu le pas de prejudiciile pe care le pot cauza. Exist nenumrate cazuri n care oameni nevinovai au czut prad creepware-ului i au rmas traumatizai de atacatori sau chiar mai ru. Unul dintre modurile n care utilizatorii de creepware i monetizeaz activitile este numit sextortion, o form de exploatare ce implic forme non-fizice de constrngere a victimelor i de a cere favoruri sexuale de la victime. n August 2013, Miss Teen USA, adolescenta de 19 ani Cassidy Wolf a devenit o victim a creepwareului. Un coleg de liceu i-a spart computerul folosind creepware pentru a-i face fotografii n timp ce se dezbrca n propriul ei dormitor, apoi a ncercat s o antejeze, ameninnd c va publica pe internet pozele dac ea nu-i va trimite unele i mai explicite. ns Cassidy Wolf s-a adresat poliiei. Hackerul a fost, ntr-un final, prins i a pledat vinovat la acuzaiile de spargere a computerelor a cel puin 24 de femei din mai multe ri. Alt caz foarte mediatizat a implicat un atacator ce folosea creepware pentru a afia mesaje de avertisment pe computerele victimelor, prin care le spuneau c senzorul webcam-ului trebuie curat. Ca s-l curee, li se expica faptul c tot ce trebuie s fac este s in computerul aproape de abur. Mai multe femei au fost, prin urmare, nregistrate n timp ce fceau du sau cnd duceau computerul n baie. Din pcate, aceste cazuri sunt doar vrful aisbergului cnd vine vorba de creepware i de impactul pe care-l poate avea asupra victimelor. Din cauz c multe victime nu raporteaz incidentele, acest tip de infractori scap, de cele mai multe ori, de justiie. Atacatorii pot amenina c public pe internet coninutul furat sau nregistrat, iar dac aceast ameninare este pus n practic, reputaia victimei poate fi distrus permanent. Efectele acestui tip de hruire i de intimidare cibernetic au, n general, efecte pe termen lung i pot conduce chiar la sinucidere. Creepware-ul, s-ar prea, este unealta ideal de intimidare cibernetic. Creepware i RAT reprezint o problem global din cauz c sunt folosite peste tot n lume, mai ales pentru motive greite.

Imaginea 7. Top 5 ri pentru activiti RAT, n ultimele ase luni

Ce poate face creepware-ul?

Ce face, mai exact, creepware-ul? Exist o abunden de astfel de programe pe pia, de la Blackshades (W32.Shadesrat), DarkComet (Backdoor.Breut), Poison Ivy (Backdoor.Darkmoon), i jRAT (Backdoor.Jeetrat), doar ca s numim cteva, multe dintre ele avnd n comun acelai set de funcionaliti de baz. Ne vom concentra atenia pe Pandora RAT, detectat de Symantec sub numele Trojan.Pandorat.

Pandora RAT permite unui atacator s aib acces la urmtoarele elemente de pe un computer compromis: Fiiere Procese Servicii Clipboard Conexiuni de reea active Regitri Imprimante

Ca i cnd nu ar fi de ajuns, Pandora poate s-i permit unui atacator urmtoarele: Controlul de la distan a desktop-ului comprimis S fac screenshots S nregistreze video folosind webcam-ul S nregistreze audio S nregistreze ce scrie utilizatorul folosind tastatura Furtul parolelor Descrcarea de fiiere Deschiderea de ferestre n browserul de internet i accesarea de site-uri Afiarea de mesaje pe ecran Rularea de mesaje audio folosind funcia text-to-speech Restartarea computerului compromis Ascunderea taskbar-ului Ascunderea iconielor de pe desktop Cauzarea de erori de sistem / blue screen of death

Uurina de folosire i interfaa grafic (GUI) elegant sunt factori foarte importani n lumea de astzi, foarte orientat pe design, iar creepware-ul nu face excepie. Pandora, la fel ca n cazul altor RAT, dispune de o interfa uor de folosit, ce poate fi folosit la nivel de maestru aproape instantaneu, att de ctre experi, ct i de ctre novici. Dac utilizarea creepware-ului obinuia s fie, n trecut, rezervat hackerilor blackhat cu mult experien, acum este de departe extrem de accesibil tuturor, de la aanumiii script-kiddies (persoane cu ceva cunotine, dar sub nivelul hackerilor cu experien) la utilizatori fr nici o urm de experien.

Imaginea 8. Interfaa de utilizator prietenoas a Pandora RAT Creepware-ul poate fi utilizat n multe moduri foarte diferite, inclusiv: Voyeurism Atacatorii folosesc webcam-ul victimei i/sau microfonul ncorporat al computerului pentru a le nregistra n secret. Furt de informaii/fiiere Informaii precum datele bancare sau parole i fiiere precum fotografii i clipuri video pot fi copiate sau terse. antaj/extorcare

Imagini foto sau video furate din computer sau nregistrate folosind webcam-ul sunt folosite pentru a fora victima s pozeze explicit pentru alte fotografii sau nregistrri video, inclusiv n timpul unor acte sexuale, dar i pentru constrngerea vinctimei pentru a plti. Trolling Atacatorii folosesc creepware pentru a induce computerului un comportament ciudat, prin deschiderea de site-uri pornografice sau ocante, afiarea de mesaje abuzive sau, uneori, cauzarea de erori de sistem doar pentru propriul lor amuzament. Folosirea computerelor pentru atacuri de tip DDoS etc. Computerele compromise pot fi folosite n atacuri de tip DDoS (distributed denial of service) bitcoin mining sau pentru alte funcii ce aduc beneficii atacatorului ce se folosete de resursele victimelor.

Economia bazat pe creepware

Creepware este o afacere foarte mare n economia subteran, cu o pia vibrant ce se nvrte n jurul vnzrilor de software. Creepware-ul n sine poate fi cumprat direct de pe site-urile dezvoltatorilor sau de la oameni ce le fac publicitate pe forumurile de hacking. Reclame precum cele la vnzri de FUD crypters, JDB generators, sau slaves printre altele, pot fi gsite pe aceste tipuri de forumuri. Dac vi se pare c terminologia este un pic slbatic, iat cteva definiii utile: FUD Fully undetectable (complet nedetectabil de ctre serviciile de securitate precum antivirui) Crypter O unealt de rearanjare a fiierelor ntr-un mod n care biii sunt amestecai, fcnd dificil detectarea JDB Java drive-by Implic un applet Java plasat pe un site; atunci cnd utilizatorul viziteaz site-ul, i apare un pop-up ce i cere permisiunea care, odat acordat, descarc creepware-ul. Slave Sclav; un computer ce a fost infectat cu creepware

Dac toate acestea par un pic prea mult munc, oricine interesat s dein propria configuraie de creepware poate plti un numr mare de experi doritori s munceasc n locul lor. Preurile variaz n funcie de servicii. Creepware/RAT poate fi gsit i gratuit, dar cele ce sunt de vnzare pot costa pn la 250 de dolari. Serviciile adugate, precum FUD crypting i instalare cost ntre 20 i 50 de dolari. La fel ca n cazul mutora dintre lucrurile din ziua de astzi, sfaturile gratuite i instruciunile pot fi gsite online alturi de o multitudine de utilizatori ce abia ateapt s-i mprteasc cunotinele despre cele mai bune unelte, trucuri i metode legate de creepware.

Ce pot face utilizatorii pentru a se proteja?

Urmtoarele metode pot fi folosite pentru a infecta computerele cu creepware: Drive-by downloads Vizitnd un site, utilizatorul descarc creepware fr s tie, pe propriul computer

10

Link-uri maliioase Link-urile maliioase, ce directeaz ctre site-uri ce gzduiesc drive-by downloads, sunt distribuite folosind social media, camere de chat, forumuri, e-mail spam etc. Atacatorul poate, de asemenea, s intre n conturile utilizatorilor i s fac s par c link-ul este trimis de un prieten. Alii pot ncerca s-i atrag victimele publicnd mesaje incitante. Exploit kits Victimele poteniale pot vizita site-uri compromise sau pot da click pe link-uri maliioase, fiind redirectai ctre servere pe care ruleaz un exploit kit, unde un script ruleaz i determin ce tip de exploit s fie folosit. Dac exploitul este viabil, victima este infectat cu creepware, iar atacatorul este notificat. Peer-to-peer file-sharing/torrents Softul de instalare a creepware-ului de tip server este mpachetat ntr-un fiier, de regul program popular sau un crack pentru un joc, i distribuit pe un site de file-sharing. Odat executat fiierul, modulul server al creepware-ului este instalat.

Pentru a rmne protejai mpotriva creepware, Symantec recomand utilizatorilor s: Actualizeze definiiile antivirusului, sistemele de operare i software-ul instalat. Evite s deschid e-mail-uri de la expeditori necunoscui i s nu descarce sau s dea click pe ataamente de e-mail dubioase. S fie prevztori atunci cnd dau click pe link-uri trimise pe mail, mesagerie instant sau n reele sociale. S descarce doar fiiere din surse legitime i de ncredere. S fi suspicioi la orice activitate neateptat a webcam-ului. Cnd nu foloseti webcam-ul, ine declanatorul nchis; dac webcam-ul nu are declanator, acoper-l cu o bucat de autocolant atunci cnd nu-l foloseti.

n lumea de astzi, computerele hoac un rol important n vieile noastre, iar ideea c astfel de unelte omniprezente pot fi folosite de un atacator ca s-i invadeze intimitatea este un gnd nfiortor. n timp ce creepware-ul este capabil s cauzeze distrugeri semnificative, luarea msurilor defensive potrivite, pas cu pas, te poate ine protejat. Avnd un software de securitate bun, cu actualizri la timp, i urmnd cteva dintre cele mai bune practici de baz, cu toii putem ine ciudaii n afara computerelor noastre.

11