Hackeri našli cestu, ako prinúť používateľov, aby si do zariadenia nahrali vírus podľa návodu. Na túto fintu nenaleť!
Bezpečnostní experti pozorovali novú formu útoku, počas ktorého si obeť sama nainštaluje do zariadenia malvér, s presným postupom, ako na to.
Bezpečnostní experti z Proofpoint odhalili novú metódu útoku, ktorá sa stáva v online sfére čoraz populárnejšou. Paradoxom je, že útočníci sa do veľkej miery spoliehajú na užívateľa, ktorý im sám pomôže nainštalovať do svojho zariadenia malvér. Používajú však mimoriadne sofistikované sociálne inžinierstvo.
Útok v podstate prebieha tak, že hackeri prehovoria užívateľa, aby si sám skopíroval a vložil škodlivý PowerShell skript do počítača. Cez tento skript sa im do zariadenia nainštaluje malvér. Útočníci týmto spôsobom šíria niekoľko rôznych typov škodlivého softvéru, napríklad malvér DarkGate, Matanbuchus, NetSupport a ďalšie stealery.
Desivo jednoduchá taktika
Lenže ako dokážu hackeri presvedčiť užívateľa, aby si sám do počítača priniesol malvér? Používajú na to až desivo jednoduchú, no mimoriadne efektívnu techniku sociálneho inžinierstva. Celý útok sa začína buď škodlivým mailom alebo infikovanou stránkou.
Užívateľom sa zobrazí vyskakovacie okno, ktoré ich informuje o tom, že pri otváraní dokumentu alebo navštívení stránky nastala chyba. Zároveň hackeri poskytujú “inštrukcie” na to, ako chybu opraviť. V rámci týchto inštrukcií sa nachádza aj škodlivý skript, ktorý užívatelia majú skopírovať do PowerShell okna.
Bezpečnostní analytici pozorovali, že útoky prebiehajú už od 1. marca tohto roku. Po prvýkrát sa objavila táto metóda útoku s kampaňou ClearFake a odvtedy sa používa pri každej novej kampani tohto malvéru. Ide o škodlivý softvér, ktorý sa ukrýva za falošnú aktualizáciu a napáda dôveryhodné stránky tým, že ich infikuje škodlivým HTML alebo JavaScript kódom.
Neprehliadni
Keď užívateľ navštívil infikovanú stránku, spustilo sa načítavanie škodlivého skriptu. Ten spustil ďalší skript. Keď druhý skript prešiel niekoľkými kontrolami a ak užívateľ ostal na stránke, objavila sa mu chybová hláška, ktorá nabádala na útok cez PowerShell.
Ako sme už spomenuli, falošná chybová hláška ponúkla užívateľovi škodlivý skript spolu s postupom, ako ho spustiť v príkazovom riadku PowerShell. Chybová hláška tvrdí, že užívateľ musí nainštalovať “root certifikát”.
Ak užívateľ nasledoval tieto kroky, do príkazového riadku sám vložil škodlivý kód a spustil ho. Po spustení kód urobil niekoľko vecí. Ako prvé vyčistil DNS cache, odstránil skopírovaný kód, zobrazil falošnú správu užívateľovi a následne stiahol ďalší PowerShell skript, ktorý sa spustil v pamäti zariadenia. Aj druhý PowerShell skript slúžil len na stiahnutie posledného skriptu. Tento skript skúsil zistiť teploty zariadenia.
Veľa bezpečnostných analytikov používa virtuálny počítač, ktorý im umožňuje skúmať malvér v bezpečnom prostredí. Ak sa skript spustil v takomto prostredí, údaje o teplote komponentov nedokáže získať.
Ak ale skript teploty získal, potom pokračoval v inštalácii malvéru. Do zariadenia obete stiahol ZIP súbor, ktorý obsahoval škodlivý DLL súbor. V balíku sa častokrát nachádzal aj Lumma Stealer. Ten následne stiahol do zariadenia ďalší malvér, vrátane mineru na kryptomeny.
Pozor aj na iné chybové hlášky
Bezpečnostní experti pozorovali falošnú chybovú hlášku v dizajne prehliadača Chrome, chybovej hlášky Windowsu alebo Wordu. Vo všetkých prípadoch však podvod prebieha rovnako. Ide o novú techniku, ktorá obetiam ponúka zároveň problém a zároveň aj riešenie. Užívateľ častokrát reaguje automaticky, bez toho, aby sa zastavil a porozmýšľal.
Najlepšou ochranou pred podobnými útokmi je nezadávať nič do príkazového riadku Windowsu, pokiaľ na 100% nevieme aký kód tam píšeme a čo tento kód robí.
Komentáre