A Socket biztonsági kutatócsapata egy újabb, kifejezetten aggasztó fenyegetésre hívta fel a figyelmet: egy imad213 nevű rosszindulatú Python-csomag jelent meg, amely Instagram felhasználók biztonságát veszélyezteti, miközben hamisan követőnövelő eszközként tünteti fel magát.
Álcázott veszélyforrás: mit rejt az „IMAD-213”?
A támadó – akit az im_ad__213 felhasználó névvel és a madmadimado59@gmail[.]com e-mail címmel kapcsoltak össze – egy „IMAD-213” névre hallgató eszközt hozott létre. Ez a csomag első ránézésre professzionális Instagram növekedést kínáló eszköznek tűnik, amit részletes telepítési útmutatóval és egy igényesen megírt GitHub README fájl segítségével népszerűsítettek. Az eszközt főként fórumokon és Discord szervereken keresztül terjesztették, ahol a gyors és látványos közösségi média növekedés ígéretével próbálták megnyerni az érdeklődőket.
Téves biztonsági érzet és adatlopás
Az imad213 különösen megtévesztő technikákat alkalmazott: biztonsági tanácsokat kínált (például ideiglenes fiók használatát javasolta), hogy eloszlassa a gyanút, és bizalmat keltsen a felhasználókban. A csomag futtatásakor kapcsolatba lép egy Netlify-alapú távoli szerverrel – pontosabban a https://imad-213-imad21[.]netlify[.]app/pass[.]txt címen –, hogy ellenőrizze, folytathatja-e a működést. Ez a „remote kill switch” funkció teljes irányítást biztosít a támadó számára. Ha a kapcsolat engedélyezett, a szoftver Instagram bejelentkezési adatokat kér a felhasználótól „szolgáltatási célokra”. Ezeket az adatokat helyben, titkosítás nélkül, credentials.txt nevű fájlban tárolja – ami szándékosan megtévesztő és a bizalom kiépítését célozza.
Adatlopás botnet-hálózaton keresztül
Az igazi veszély azonban a következő lépésben rejlik: a megszerzett adatokat az eszköz automatikusan továbbítja egy tíz weboldalból álló törökországhoz köthető bot hálózat felé. Ezek az oldalak – például takipcimx[.]net és takipcizen[.]com – valójában adathalász szolgáltatások. A Socket riportja alapján ezek a weboldalak több éve aktívak, közös WHOIS adatokkal és regisztrátorral rendelkeznek. A VirusTotal biztonsági platform több ilyen oldalt is adathalász tevékenységgel azonosított. A hálózat célja, hogy az ellopott adatokat több végpontra szórva szinte követhetetlenné tegye az adatok eredetét, ezzel súlyosbítva a fiókvesztés kockázatát.
Komplex, hosszú távú támadás
Az imad213 csupán egy része egy nagyobb, jól szervezett kiberfenyegetési kampánynak. A háttérben feltehetően ugyanaz az elkövető áll, aki korábban már hasonló eszközöket – mint például a taya és a poppo213 – is létrehozott. Ezek közös jellemzői a hasonló kódbázis, arculat és működési mechanizmus. Külön aggasztó, hogy a támadó legitim felhőszolgáltatásokat – mint a Netlify – használ a parancs- és vezérlő infrastruktúra működtetéséhez. Ez megnehezíti a hagyományos biztonsági rendszerek számára a fenyegetés felismerését. A social engineering technikák is egyre kifinomultabbá válnak: a jövőben például hamis kétfaktoros hitelesítési kérések is megjelenhetnek, amelyek további érzékeny adatokat csalogathatnak ki a felhasználóktól.
Kockázatok és következmények
Az Instagram hivatalos szabályzata szigorúan tiltja a mesterséges követőnövelő eszközök használatát. Az ilyen szoftverek használata nemcsak az adatok elvesztésével, hanem a fiók felfüggesztésével is járhat. Továbbá a támadás kiterjeszthető más platformokra is, beleértve a TikTokot, YouTube-ot vagy akár online játékok fiókjait, mivel sok felhasználó ugyanazokat a jelszavakat használja több helyen.
Védekezési lehetőségek és figyelmeztetés
Az eset rávilágít arra, mennyire fontos a tudatos, óvatos online viselkedés: soha ne adjunk meg érzékeny adatokat kétes eredetű applikációkban, weboldalakon és egyéb harmadik féltől származó programokban még akkor sem, ha azok hitelesnek tűnnek!
Fenyegetési indikátorok (Indicators of Compromise – IOCs)
Típus | Indikátor | Leírás |
Csomag neve | imad213 | Kártékony Python-csomag |
Támadó azonosítója | im_ad__213 | A csomag készítője |
madmadimado59@gmail[.]com | A támadóval kapcsolatos cím | |
Vezérlő URL | https://imad-213-imad21[.]netlify[.]app/pass.txt | Távoli kill switch fájl |
Helyi fájl | credentials.txt | Bejelentkezési adatok mentése szövegfájlba |
Kártékony domainek | takipcimx[.]net, takipcizen[.]com, stb. | Adathalász célú bot szolgáltatások |