Pozor na pirátske filmy! Šíri sa cez ne zákerný a nenápadný malvér PEAKLIGHT

Bezpečnostní experti pozorovali v online priestore nový malvér PEAKLIGHT, ktorý sa šíri cez pirátske filmy.

piratsky softver
Zdroj: Michaela Jilkova / Shutterstock.com

Bezpečnostní experti odhalili nový malvér, ktorý sa nenápadne inštaluje len do pamäte RAM zariadenia. Malvér nazvali PEAKLIGHT a informuje o ňom spoločnosť Google.  

Po prvýkrát škodlivý softvér odhalili bezpečnostní experti z Mandiant Managed Defense. Ide o dropper, teda “obálku” malvéru, ktorá sa uloží len do pamäte RAM zariadenia. V malvéri sa nachádza infostealer distribuovaný modelom malvér-ako-služba. Znamená to, že technologicky zdatný kyberzločinec navrhne malvér, ktorý následne ponúka za mesačný poplatok ďalším kyberzločincom.  

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Presnejšie odhalili, že sa malvér distribuuje cez súbor LNK. Ten sa pripája na CDN sieť a na tejto sieti sa nachádza JavaScript dropper. Tento skript spúšťa PowerShell downloader. Malvér sa šíri tak, že si obeť stiahne do počítača škodlivý ZIP súbor. Kyberzločinci maskujú tento súbor za pirátske filmy. V priečinku sa nachádza aj škodlivý LNK súbor.  

“LNK súbory sú bežne využívané kyberzločincami na to, aby obete prinútili omylom spustiť na svojom zariadení malvér. Tieto súbory sa môžu javiť ako legitímne dokumenty alebo programy. Preto sú ideálne pre ukrývanie sa priamo pred očami obete,” tvrdia bezpečnostní experti.

Šíri sa cez nelegálny softvér

Keď užívateľ otvoril pirátsky film, ako prvé sa spustil LNK súbor. Následne sa otvoril aj Windows Media Player a automaticky sa prehralo logo filmového štúdia, ktoré film urobilo. Bezpečnostní experti predpokladajú, že toto krátke video slúžilo na ukrytie faktu, že užívateľ bol práve infikovaný malvérom.  

pozor pocitac virus hacknuty system
Zdroj: Pungu x / Shutterstock.com

Čo sa samotného malvéru PEAKLIGHT týka, ide o PowerShell downloader, ktorý je súčasťou niekoľkostupňového exekučného reťazca. Tento dropper kontroluje prítomnosť určitých ZIP archívov na predom daných miestach. Ak tieto súbory neexistujú, pripája sa na CDN server a sťahuje potrebné súbory do zariadenia obete.  

Bezpečnostní experti pozorovali, že sa prostredníctvom tohto droppera šíri niekoľko rôznych typov malvéru, napríklad LUMMAC.V2, SHADOWADDER alebo CRYPTBOT. Vývojári malvéru používajú niekoľko odlišných metód na zakrytie svojej činnosti a vyhnutie sa odhaleniu. Aj samotný dropper PEAKLIGHT má niekoľko rôznych verzií s jedinečnými charakteristikami.  

“Radíme bezpečnostným výskumníkom, aby ostali opatrní a aby zdieľali akékoľvek poznatky, ktoré získajú výskumom tohto malvéru alebo podobného škodlivého softvéru,” píšu bezpečnostní výskumníci.  

Malvér sa šíri primárne cez pirátske filmy. Nelegálne stiahnutý softvér je pomerne častým spôsobom, cez ktorý kyberzločinci šíria škodlivý softvér. Pri probléme kyberbezpečnosti vždy radíme, aby sa užívatelia vyhli pirátskemu softvéru.

Pozor aj na bankový malvér 

Nedávno bezpečnostní experti z ESETu informovali o bankovom malvéri NGate, ktorý vyčíňal v susednom Česku a zameriaval sa na klientov troch bánk. Tento malvér sa však môže rýchlo dostať aj na Slovensko. Ide o škodlivý softvér, ktorý má jedinečnú schopnosť prenášať údaje z platobných kariet obetí prostredníctvom škodlivej aplikácie nainštalovanej v ich zariadeniach so systémom Android do rootnutého Android telefónu útočníka. 

Keď sa údaje platobnej karty úspešne prenesú na zariadenie útočníka, kyberzločinec následne dokáže vykonávať neoprávnené výbery z bankomatov, z účtov obetí. Bezpečnostní experti však pozorovali aj prípady, kedy táto metóda útoku nefungovala. V takých prípadoch majú však hackeri záložný plán. V takýchto prípadoch presúvajú peniaze z účtov obetí na iné bankové účty.   

kreditna karta kradez karty
Zdroj: Kim Kuperkova / Shutterstock.com

Tento útok sa začína podobne, ako väčšina bankových útokov. Na začiatku dostane užívateľ správu, v rámci ktorej sa útočník vydáva za banku obete. Útočníci presvedčia užívateľa, že jeho smartfón je v ohrození a musí si do zariadenia stiahnuť aplikáciu, ku ktorej v podvodnej SMS správe poskytli odkaz. Cez tento odkaz dostane užívateľ do zariadenia malvér.  

Najlepšia ochrana pred akýmkoľvek typom malvéru je navštevovanie oficiálnych a dôveryhodných stránok, spolu s vyhýbaním sa akýmkoľvek podozrivým správam alebo telefonátom. Žiadna dôveryhodná inštitúcia nechce po svojich zákazníkoch, aby si aktualizovali aplikáciu cez SMS správu alebo aby takouto formou prezradili svoje osobné údaje.  

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre