Bezpečnostní experti upozorňujú na falošnú stránku IT podpory: Takto chyby v PC neopravujte!
Bezpečnostní experti upozornili na ďalší útok, kedy hackeri chcú, aby obeť spustila infekciu malvéru cez príkazový riadok.
Bezpečnostní experti z eSentrie odhalili nový druh kybernetického útoku, ktorý sa šíri cez falošnú stránku IT podpory.
Podvodníci využili chybu pri aktualizácii Windowsu, ktorá sa môže užívateľom zobraziť. Keď túto chybu vyhľadali cez Google, objavila sa medzi výsledkami aj falošná stránka podpory. Presnejšie ide o stránku PCHelper Wizards, ktorá má dizajn podobný legitímnym podporám.
V nádeji, že užívateľ vyrieši svoj problém, si ale do zariadenia stiahol malvér Vidar Stealer. Ten sa do zariadenia dostáva cez PowerShell skript. Bezpečnostní analytici vysvetľujú, že na falošnej stránke IT podpory sa nachádza celý článok, ktorý užívateľom vysvetľuje, ako opraviť často sa vyskytujúcu chybu.
Nenechaj sa ale oklamať, článok v skutočnosti nie je návodom na opravenie chyby s aktualizačným systémom Windowsu. Namiesto toho ti falošná stránka krok po kroku ukáže, ako môžeš sám na počítači odštartovať infekčný proces.
Článok obetiam ukazuje, ako otvoriť Windows PowerShell, alebo príkazový riadok, ako administrátor a následne radí, aby do príkazového riadku vložili skript zo stránky, ktorý odštartuje celý proces. Ak by však tento proces bol pre obeť priveľmi náročný, môže si stiahnuť súbor, ktorý to spraví za ňu.
Neprehliadni
Čo sa stane, keď skript spustíš?
Po otvorení príkazového riadku, zadaní a spustení skriptu sa stiahne ZIP súbor, ktorý sa uloží do náhodne generovaného priečinku v priečinku %TEMP%. Následne sa na C2 server hackera pošle požiadavka, ktorá informuje o tom, že sa fáza sťahovania úspešne ukončila.
Potom dochádza k rozbaleniu súboru a spusteniu súborov vo vnútri. Ak tento proces prebehne úspešne, zariadenie je úspešne infikované.
Bezpečnostní experti objavili okrem falošnej stránky aj YouTube video, ktoré popisuje opravu Windows Update chyby rovnakým spôsobom. Pod videom našli komentáre od botov, ktoré písali, že táto metóda opravy funguje, čím ešte viac podporovali dôveryhodnosť útoku
Video obsahuje v popise odkaz na falošnú stránku. Tam nájde obeť jednotlivé kroky a aj škodlivý skript.
Podobné útoky sa objavujú čoraz častejšie
V druhej polovici júna sme informovali o metóde útoku, ktorá užívateľov prinúti, aby si do zariadenia nainštalovali malvér sami. Rovnako ako v prípade tohto útoku s falošnou stránkou IT podpory, aj tu mali užívatelia skopírovať kód z chybovej hlášky a spustiť ho v príkazovom riadku.
Tieto útoky sa začínajú podvodným mailom s falošnou prílohou alebo infikovanou webovou stránkou. Keď si teda prílohu otvoríš alebo navštíviš jednu z infikovaných stránok, zobrazí sa ti vyskakovacie okno. To ťa informuje, že pri otváraní dokumentu alebo stránky nastala chyba a takto ju môžeš rýchlo opraviť.
Bezpečnostní experti poukazujú na to, že podvodníci v tomto prípade využili geniálnu metódu sociálneho inžinierstva. Vyskakovacie okná majú dizajn legitímnej aplikácie, ako napríklad Word alebo prehliadača Chrome. Genialita tejto metódy sa však ukrýva v tom, že obeti ponúknu problém a zároveň aj rýchle riešenie. Menej technicky zdatní ľudia nemajú predstavu o tom, čo sa môže cez príkazový riadok všetko s počítačom urobiť.
Ako sa proti podobným útokom chrániť?
Vyššie uvedené podvody znejú desivo, no ochrana je jednoduchá. Príkazový riadok PowerShell je platforma, cez ktorú môžeš pracovať s akýmkoľvek komponentom počítača, ak vieš ako. Existuje niekoľko užitočných príkazov, ktoré si môžeš vyskúšať, no mimo to neodporúčame prácu s PowerShellom, ak nemáš potrebné IT znalosti.
Ak má tvoj PC nejaký vážnejší problém a na internete zistíš, že je potrebné niečo vykonať cez príkazový riadok, poriadne si over, či je to legitímna stránka. Reálne IT podpory vo väčšine prípadov napíšu celý príkaz jasne v príspevku a vysvetlia, čo robí. Tento príkaz si môžeš vyhľadať a uistiť sa, či autori článku skutočne hovoria pravdu.
Podvodné IT podpory alebo chybové hlášky ti príkaz neukážu. Namiesto toho si ho môžeš cez tlačidlo skopírovať do schránky a následne prilepiť priamo do príkazového riadku. To je veľmi podozrivé a nemal by si pokračovať ďalej.
Komentáre