Bezpečnostní experti upozorňujú na falošnú stránku IT podpory: Takto chyby v PC neopravujte!

Bezpečnostní experti upozornili na ďalší útok, kedy hackeri chcú, aby obeť spustila infekciu malvéru cez príkazový riadok.

Hackeri opäť používajú falošnú IT podporu, aby útočili na svoje obete
Zdroj: Vosveteit.sk, AI

Bezpečnostní experti z eSentrie odhalili nový druh kybernetického útoku, ktorý sa šíri cez falošnú stránku IT podpory.  

Podvodníci využili chybu pri aktualizácii Windowsu, ktorá sa môže užívateľom zobraziť. Keď túto chybu vyhľadali cez Google, objavila sa medzi výsledkami aj falošná stránka podpory. Presnejšie ide o stránku PCHelper Wizards, ktorá má dizajn podobný legitímnym podporám.  

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

V nádeji, že užívateľ vyrieši svoj problém, si ale do zariadenia stiahol malvér Vidar Stealer. Ten sa do zariadenia dostáva cez PowerShell skript. Bezpečnostní analytici vysvetľujú, že na falošnej stránke IT podpory sa nachádza celý článok, ktorý užívateľom vysvetľuje, ako opraviť často sa vyskytujúcu chybu.  

Nenechaj sa ale oklamať, článok v skutočnosti nie je návodom na opravenie chyby s aktualizačným systémom Windowsu. Namiesto toho ti falošná stránka krok po kroku ukáže, ako môžeš sám na počítači odštartovať infekčný proces.  

Článok obetiam ukazuje, ako otvoriť Windows PowerShell, alebo príkazový riadok, ako administrátor a následne radí, aby do príkazového riadku vložili skript zo stránky, ktorý odštartuje celý proces. Ak by však tento proces bol pre obeť priveľmi náročný, môže si stiahnuť súbor, ktorý to spraví za ňu.  

prikazovy riadok Windows pocitac
Zdroj: Claudio Divizia / shutterstock.com

Čo sa stane, keď skript spustíš?  

Po otvorení príkazového riadku, zadaní a spustení skriptu sa stiahne ZIP súbor, ktorý sa uloží do náhodne generovaného priečinku v priečinku %TEMP%. Následne sa na C2 server hackera pošle požiadavka, ktorá informuje o tom, že sa fáza sťahovania úspešne ukončila.  

Potom dochádza k rozbaleniu súboru a spusteniu súborov vo vnútri. Ak tento proces prebehne úspešne, zariadenie je úspešne infikované.  

Bezpečnostní experti objavili okrem falošnej stránky aj YouTube video, ktoré popisuje opravu Windows Update chyby rovnakým spôsobom. Pod videom našli komentáre od botov, ktoré písali, že táto metóda opravy funguje, čím ešte viac podporovali dôveryhodnosť útoku

Video obsahuje v popise odkaz na falošnú stránku. Tam nájde obeť jednotlivé kroky a aj škodlivý skript.  

Podobné útoky sa objavujú čoraz častejšie  

V druhej polovici júna sme informovali o metóde útoku, ktorá užívateľov prinúti, aby si do zariadenia nainštalovali malvér sami. Rovnako ako v prípade tohto útoku s falošnou stránkou IT podpory, aj tu mali užívatelia skopírovať kód z chybovej hlášky a spustiť ho v príkazovom riadku.  

Tieto útoky sa začínajú podvodným mailom s falošnou prílohou alebo infikovanou webovou stránkou. Keď si teda prílohu otvoríš alebo navštíviš jednu z infikovaných stránok, zobrazí sa ti vyskakovacie okno. To ťa informuje, že pri otváraní dokumentu alebo stránky nastala chyba a takto ju môžeš rýchlo opraviť.  

Bezpečnostní experti poukazujú na to, že podvodníci v tomto prípade využili geniálnu metódu sociálneho inžinierstva. Vyskakovacie okná majú dizajn legitímnej aplikácie, ako napríklad Word alebo prehliadača Chrome. Genialita tejto metódy sa však ukrýva v tom, že obeti ponúknu problém a zároveň aj rýchle riešenie. Menej technicky zdatní ľudia nemajú predstavu o tom, čo sa môže cez príkazový riadok všetko s počítačom urobiť.  

Pozor na túto zákernú formu útoku
Zdroj: Proofpoint

Ako sa proti podobným útokom chrániť?  

Vyššie uvedené podvody znejú desivo, no ochrana je jednoduchá. Príkazový riadok PowerShell je platforma, cez ktorú môžeš pracovať s akýmkoľvek komponentom počítača, ak vieš ako. Existuje niekoľko užitočných príkazov, ktoré si môžeš vyskúšať, no mimo to neodporúčame prácu s PowerShellom, ak nemáš potrebné IT znalosti.  

Ak má tvoj PC nejaký vážnejší problém a na internete zistíš, že je potrebné niečo vykonať cez príkazový riadok, poriadne si over, či je to legitímna stránka. Reálne IT podpory vo väčšine prípadov napíšu celý príkaz jasne v príspevku a vysvetlia, čo robí. Tento príkaz si môžeš vyhľadať a uistiť sa, či autori článku skutočne hovoria pravdu.  

Podvodné IT podpory alebo chybové hlášky ti príkaz neukážu. Namiesto toho si ho môžeš cez tlačidlo skopírovať do schránky a následne prilepiť priamo do príkazového riadku. To je veľmi podozrivé a nemal by si pokračovať ďalej. 

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre