Aktualizujte si Windows čo najskôr! Hackeri našli cestu, ako obísť Windows Defender, aby sa vám dostali o zariadenia
Bezpečnostní experti odhaľujú novú hackerskú kampaň, cez ktorú sa šíri trójsky kôň DarkMe.
Bezpečnostní experti z Trend Micro odhalili závažnú zero-day slabinu, prostredníctvom ktorej hackerská skupina Water Hydra útočí na antivírový program Microsoft Defender. Útoky sa spravidla zameriavajú na obchodníkov na finančnom trhu.
Ako vysvetľujú bezpečnostní analytici, útoky sa po prvýkrát objavili koncom decembra minulého roku. V tom čase začali sledovať aktivitu skupiny Water Hydra, ktorá používala podobné nástroje, taktiky a procedúry. Kyberzločinci zneužívali URL adresy a WebDAV komponenty. Hackeri zároveň objavili spôsob, ako pomocou tejto zero-day slabiny obísť funkciu SmartScreen, ktorá je súčasťou Windows Defendera. Cez túto slabinu sa dostanú do zariadenia a nainštalujú obetiam malvér DarkMe.
Zero-day slabiny sú veľmi nebezpečné typy slabín, ktoré objavili hackeri ešte skôr, ako ich objavili vývojári určitej aplikácie alebo hocijakého softvéru. Keďže ide o neopravenú chybu, hackeri ju môžu voľne zneužívať, až dokým ju vývojár neopraví, čo môže trvať aj niekoľko dni alebo dlhšie. Zero-day sa volajú preto, lebo po objavení slabiny má vývojár “nula dní” na to, aby slabinu opravil.
Malvér obchádza Windows Defender
Hackerská skupina Water Hydra sa do povedomia bezpečnostných analytikov dostala v roku 2021. V tomto období zasiahla finančný trh svojimi útokmi proti bankám, kryptomenovým platformám, kasínam, online herniam, či forexu alebo trhu s akciami. Malvér DarkMe možno považovať za remote access trojan, alebo takzvaný RAT. Tento malvér sa po prvýkrát objavil v rámci kampane DarkCasino zameranej na európskych obchodníkov a online kasína. Spočiatku sa predpokladalo, že za týmito útokmi stála iná skupina, Evilnum, ktorá používala veľmi podobné praktiky.
Do roku 2023 už ale bolo jasné, že Water Hydra je samostatnou skupinou. Známa je aj zneužívaním slabiny v aplikácii WinRAR. Cez túto slabinu útočila na obchodníkov s akciami.
Neprehliadnite
Nová kampaň sa začína na forexových alebo iných obchodných fórach a kanáloch na Telegrame. Ide o spearphishingové útoky, pri ktorých sa snažia užívateľov fóra presvedčiť, aby klikli na podvodný odkaz. Nalákať sa ich pokúšajú cez prosby o pomoc alebo zdieľaním falošných nástrojov na obchodovanie alebo analyzovanie trhu. Keď obeť klikne na odkaz, dostane sa na stránku, cez ktorú sa do zariadenia sťahuje trójsky kôň.
Pozor by si mali dať hlavne obchodníci
Podvodná URL je kópiou existujúcej stránky Fxbulls. Namiesto prípony com má však ruskú doménu ru. Počas vyšetrovania kampane si bezpečnostní experti všimli, že hackeri z Water Hydra pridali na fóra naozaj obrovské množstvo príspevkov ako v anglickom, tak aj ruskom jazyku. Po vstupe na prvú falošnú stránku obete nachádzajú druhý odkaz, ktorý láka na stiahnutie JPEG súboru. Druhý odkaz vedie k WebDAV súboru, ktorý už je škodlivý. Po kliknutí na tento odkaz prehliadač vyzve k otvoreniu nového okna vo Windows Explorer.
Po infikovaní zariadenia sa obeti otvára obrázok s rovnakým názvom ako stiahnutý trójsky kôň. Obeť teda nemusí mať vôbec predstavu o tom, že je jej zariadenie infikované malvérom DarkMe. Po nainštalovaní začína malvér zbierať rôzne informácie z infikovaného zariadenia, napríklad meno počítača, používateľské meno, nainštalovaný antivírový softvér a názov aktívneho okna. Tieto údaje slúžia na registráciu infikovaného zariadenia na serveri útočníkov.
Celkovo však malvér dokáže oveľa viac. Môže vytvárať a mazať priečinky, získať informácie o súboroch na disku či vytvoriť ZIP súbory z určitej cesty.
Hlavne ak sa venujete obchodu s akciami alebo forex tradingu, dávajte si nasledujúcu dobu veľký pozor na príspevky na rôznych obchodných fórach. V prípade že jeden užívateľ pridá do príspevku URL adresu, ubezpečte sa, že viete, kam vás táto adresa zavedie.
Záverom nám dovoľte upozorniť a vyzvať vás na to, aby ste si čo najskôr aktualizovali svoj Windows počítač. V súčasnosti Microsoft distribuuje už aktualizáciu, ktorá rieši vzniknutý problém vrátane ďalších.
Komentáre