POZOR! Nový online podvod s dovolenkami ťa môže pripraviť o peniaze a ostaneš doma s očami pre plač
Falošné stránky sa vydávajú za Booking.com a pomocou podvodnej CAPTCHA ťa donútia spustiť škodlivý kód v tvojom zariadení.
Internet je v tejto dobe plný nástrah, ktoré dokážu oklamať aj skúseného používateľa. Najnovší príklad prichádza od výskumníkov spoločnosti Malwarebytes, ktorí odhalili podvodnú kampaň zneužívajúcu meno známeho portálu Booking.com. Cieľom je infikovať tvoje zariadenie škodlivým softvérom, a to cez rafinovaný trik, ktorý pôsobí na prvý pohľad úplne neškodne.
Tento podvod sa začal šíriť v druhej polovici mája a momentálne prebieha vo veľkom meradle. Útočníci šíria odkazy na falošné stránky prostredníctvom reklám vo vyhľadávačoch, cez sociálne siete, ale aj ako „sponzorovaný“ obsah na rôznych herných či cestovateľských weboch. Problém je, že tieto odkazy pôsobia dôveryhodne a bežný používateľ často nerozozná rozdiel.
Klik, ktorý otvorí dvere útočníkovi
Po kliknutí na odkaz sa používateľ ocitne na stránke, ktorá na nerozoznanie pripomína originálny Booking.com. Vizuál, rozloženie, dokonca aj doména vyzerajú dôveryhodne, často ide o subdomény ako booking.property-paids[.]com či booking.guestalerts[.]com. Stránka následne zobrazí CAPTCHA formulár, kde máš „potvrdiť, že nie si robot“.
Na tomto mieste by však mal zbystriť pozornosť každý, kto má aspoň základné znalosti o fungovaní webu. Legitímne CAPTCHA formuláre nikdy nemanipulujú so systémovou schránkou (clipboardom). V tomto prípade sa však po kliknutí na políčko automaticky do schránky skopíruje kód, konkrétne príkaz určený pre PowerShell.
Následne sa objaví obrazovka s pokynmi, ktoré používateľa nenápadne navedú k tomu, aby si otvoril príkazové okno, vložil skopírovaný text a potvrdil ho. Celý proces pôsobí ako systémové overenie, no v skutočnosti ide o útok.
Neprehliadni
Čo sa deje po spustení príkazu?
Skopírovaný reťazec je zámerne upravený tak, aby nebolo hneď jasné, čo robí. Používa zámenu veľkých a malých písmen, úvodzoviek či premenných. Po rozlúštení je však obsah jasný, PowerShell príkaz si zo vzdialeného servera stiahne súbor a okamžite ho spustí.
V praxi ide o dve škodlivé komponenty, najprv súbor ckjg.exe, a po ňom Stub.exe, ktorý obsahuje takzvaný AsyncRAT, diaľkovo prístupový nástroj (Remote Access Trojan). Tento typ malvéru umožňuje útočníkovi úplne ovládnuť tvoje zariadenie.
AsyncRAT: Tichý špión v tvojom počítači
AsyncRAT beží na pozadí a nevyžaduje žiadnu interakciu zo strany používateľa. Vie zaznamenávať stlačené klávesy, sťahovať súbory z tvojho zariadenia, sledovať tvoju aktivitu v prehliadači a dokonca zapnúť webkameru či mikrofón. V podstate sa stávaš pozorovaným bez toho, aby si o tom vedel.
Čo je ešte horšie, tieto útoky sú dynamické. Útočníci menia domény každé dva až tri dni, čím sťažujú ich zablokovanie a vystopovanie. To znamená, že nestačí len jedenkrát „nenaletieť“. Hrozba sa neustále prispôsobuje.
Tento útok nie je len technickým problémom, je to dôkaz, že útočníci čoraz viac stavajú na psychológiu a zneužívajú dôveru bežných používateľov. Preto sa oplatí mať oči otvorené, aj keď sa ti stránka na prvý pohľad zdá úplne v poriadku.
V súvislosti s touto témou nám dovoľ dať ti do pozornosti článok, v ktorom sme upozorňovali na falošné dovolenkové agentúry na Slovensku.
Komentáre