Používaš Microsoft Office? Tento nový trik hackerov ti potajme nainštaluje vírus do počítača
Na internete sa šíria falošné doplnky pre Office, ktoré potajme inštalujú vírusy a ťažia kryptomeny na tvoj účet.
Bezpečnostní analytici zo Secure List odhalili jedinečnú podvodnú schému, ktorá zneužíva platformu SourceForge. Ak nevieš o čo ide, táto platforma slúži na zdieľanie rôzneho softvéru.
SourceForge hostuje rôzne typy softvéru a užívatelia ich môžu medzi sebou porovnávať a sťahovať, no zároveň môžu pokojne nahrať svoj vlastný softvérový projekt. Nedávno si bezpečnostní analytici všimli špecifický projekt s názvom officepackage, ktorý sa na prvý pohľad zdá úplne neškodný. Tento projekt ponúka prídavky do služieb Microsoft Office a zdá sa, že softvér bol skopírovaný z legitímneho GitHub projektu. Rovnako hackeri skopírovali aj popis z GitHubu.
“Len málo užívateľov vie, že projekty vytvorené na platforme SourceForge dostanú aj doménu sourceforge.io a webhosting služby. Tieto stránky sú dobre indexované vyhľadávačmi a objavia sa vo výsledkoch vyhľadávania,” informujú bezpečnostní analytici.
Hackeri zneužívajú legitímny projekt
V prípade falošného projektu officepackage existuje stránka s príponou “.io” no keď ju užívateľ navštívi, táto stránka nevyzerá vôbec ako tá, ktorú môžeme nájsť na SourceForge stránke s príponou “.net”. Namiesto toho sa užívateľ stretáva s popisom skopírovaným z GitHubu a uvidí množstvo Office aplikácií s číslami verzií a tlačidlom na stiahnutie.
Keď nadídeš myšou na jedno z tlačidiel na stiahnutie, objaví sa na prvý pohľad legitímna URL adresa. Nie je to ale tak a po kliknutí na tlačidlo sa užívateľ dostáva na ďalšiu obrazovku, na ktorej uvidí samostatné tlačidlo na stiahnutie. Kliknutie na toto tlačidlo stiahne do zariadenia približne 7 megabajtový archív súbor s názvom vininstaller. Tento súbor už môže rozsvietiť pár červených vlajok, pretože Office aplikácie nikdy nebývajú také malé, ani keď sú komprimované.
V archíve sa užívateľ stretáva s ďalším zabaleným súborom a Readme textovým súborom. Komprimovaný súbor installer je chránený heslom. Vo vnútri zaheslovaného súboru sa nachádza ďalší súbor installer.msi. Ten má veľkosť viac ako 700 MB, čo má užívateľov presvedčiť, že ide o legitímny inštalačný súbor pre programy Microsoft Office.
Neprehliadni
Po spustení inštalačného súboru sa začínajú do zariadenia obete inštalovať rôzne súbory a začína sa ďalší krok v rámci inštalovania malvéru. Výsledkom je, že kyberzločinci do tvojho zariadenia dostáva takzvaný miner, spolu s ďalším malvérom, ktorý je zameraný na kryptomeny.
Miner sám o sebe nie je škodlivý, no zaťaží tvoj počítač na maximum. Miner je druh malvéru, ktorý využíva výkon tvojho počítača na ťažbu kryptomien. Tie ale nejdú do vrecka tebe, no posielajú sa na kryptoúčet kyberzločinca. Ďalší škodlivý softvér je však nebezpečnejší.
Okrem mineru totiž malvér inštaluje aj ClipBanker škodlivý softvér. Ten dokáže nahradiť adresy kryptopeňaženiek za adresy hackera, ktorý ti počítač infikoval. Znamená to, že keď budeš chcieť niekde kryptomeny poslať, hacker nahradí túto adresu a pošleš ich jemu.
“Distribúcia malvéru, ktorý sa vydáva za pirátsky softvér, nie je nič nové. Užívatelia neustále hľadajú spôsoby, ako sťahovať aplikácie z neoficiálnych zdrojov, spravidla zadarmo. Hackeri si to dobre uvedomujú a preto vytvárajú škodlivé súbory, ktoré oklamú užívateľov,” vysvetľujú experti.
Pozor na to, odkiaľ sťahuješ
Škodlivé súbory sa zameriavajú na užívateľov, ktorí majú záujem o sťahovanie pirátskeho softvéru. Ak patríš medzi nich, dávaj si dobrý pozor, odkiaľ takýto softvér sťahuješ. Celkovo ak sťahuješ softvér z neznámych stránok, buď si úplne istý, že tejto stránke môžeš dôverovať. Nehovoríme nutne len o pirátskom softvéri, no napríklad aj rôznych open-source projektoch.
Malvér na nás číha zo všetkých strán a je dobré dávať si pozor nielen na phishing, ale aj na takúto distribúciu malvéru.
Komentáre