Phishingové e-maily zneužívajú vyhľadávací protokol Windows, aby infikovali počítač. Takto prebieha nový a sofistikovaný útok
Hackeri útočia cez phishingové e-maily na slabiny Windowsu. Malvér sa ukrýva v zdanlivo jednoduchej HTML prílohe.
Bezpečnostní analytici z Trustwave SpiderLabs zachytili novú hrozbu, ktorá sa šíri online priestorom. Ide o sofistikovaný malvér, ktorý zneužíva funkciu Windows search, ktorá sa nachádza v HTML kóde.
Cez túto slabinu sa dokáže malvér dostať do zariadenia obetí. Útok sa začína podozrivým e-mailom. Ten obsahuje HTML prílohu, ktorá sa však tvári ako bežný dokument, napríklad faktúra. Útočníci HTML súbor komprimujú do ZIP archívu, čo má niekoľko účelov.
Ako prvé sa zmenší veľkosť súboru, čím sa môže rýchlejšie poslať. Ďalšou obrovskou výhodou pre hackerov je to, že niektoré antivírové skenery nekontrolujú komprimované súbory. Použitím ZIP súboru sa zároveň zvyšuje dôveryhodnosť podvodu.
Hackeri útočia zdanlivo jednoduchou HTML prílohou
Bezpečnostní experti si všimli, že priložený HTML súbor sa na prvý pohľad síce javí jednoducho, no kyberzločinci ho navrhli tak, aby dokázal spustiť sofistikovaný útok. Akonáhle užívateľ otvorí tento súbor, kód zneužíva štandardné webové protokoly, aby zaútočil cez funkcionality operačného systému Windows.
Kľúčovým pri útoku je špecifický atribút, ktorý nariaďuje internetovému prehliadaču, aby automaticky obnovil stránku a presmeroval sa na novú URL. Zároveň môžu útočníci nastaviť oneskorenie tejto funkcie. Vo väčšine prípadov oneskorenie nastavia na nulu, čo znamená, že presmerovanie sa odohrá okamžite ako sa načíta stránka. Užívateľ teda nemá čas reagovať alebo pozorovať niečo podozrivé.
Neprehliadnite
Útočníci ale majú v zálohe aj poistku. Niektoré prehliadače môžu mať ochranu pred podobnými presmerovaniami. Ak z nejakého dôvodu vyššie spomínaný atribút prestane fungovať, potom sa užívateľovi objaví kliknuteľné tlačidlo. V tomto prípade sám užívateľ spustí ďalšiu fázu útoku.
Automaticky sa otvára Windows Explorer a vykonáva sa vyhľadávacia funkcia s parametrami, ktoré určí samotný útočník. Keď užívateľ potvrdí vyhľadávanie, funkcia získava rôzne súbory, ktoré majú v názve slovo “faktúra” alebo iné slovo, ktoré útočníci použili v prvej fáze útoku, pri poslaní e-mailu. Zobrazí sa LNK súbor, ktorý odkazuje na BAT súbor, hostený na rovnakom serveri. Po kliknutí na LNK súbor sa môžu spustiť ďalšie škodlivé operácie.
Bezpečnostní experti nedokázali získať prístup k súboru BAT, pretože servery útočníka nefungovali. Podotýkajú však, že kyberzločinci majú v tomto prípade veľa vedomostí o slabinách operačného systému Windows a o tom, ako sa užívatelia bežne správajú.
Analýza malvéru ukázala, že HTML dokument slúži ako kritický komponent útoku. Tento dokument totiž sprostredkúva vykonanie skriptu, ktorý zneužíva slabinu funkcie Windows search. Bezpečnostní experti zároveň poukazujú na to, že tento útok nevyužíva automatizovanú inštaláciu malvéru. Znamená to, že užívateľ musí kliknúť na niekoľko rôznych upozornení.
Hackeri ale zneužívajú dôveru, ktorú užívatelia vkladajú do známych užívateľských rozhraní a čiastočnú ľahostajnosť pri rôznych triviálnych úlohách, medzi ktoré otváranie internetových príloh patrí.
Malvér sa dostáva do zariadení najčastejšie cez nepozornosť
Pri otázkach kyberbezpečnosti vždy radíme, aby mali užívatelia “oči na stopkách”, čo sa týka podozrivých e-mailov, SMS, četov či telefonátov. Phishing sa stal najpopulárnejším spôsobom distribúcie malvéru a stáva sa čoraz sofistikovanejším. Hackeri skúšajú nové taktiky a to aj s pomocou umelej inteligencie.
Pri každom podozrivom e-maily preto netreba klikať na žiadne odkazy alebo prílohy. Podozrivé maily môžete rozpoznať napríklad tak, že prišli od cudzej adresy, predmet správy je niečo neočakávané alebo od vás chce bežne dôveryhodný subjekt (napríklad banka) niečo, čo nie je v bežných praktikách. V prípade akéhokoľvek podozrenia na mail nereagujte, ak prichádza z neznámej adresy. Ak prišiel od niekoho známeho alebo od banky, pošty alebo inej inštitúcie, Radšej zavolajte na oficiálnu kontaktnú linku.
Komentáre