Korisnici Chrome-a, pazite: Lažni blokator oglasa instalira virus na vaš računar!
Istraživači iz Huntress otkrili su opasnu novu kampanju u kojoj napadači maskiraju malver kao legitimni blokator oglasa, kompromitujući poslovne računare. Ovaj napad koristi tehniku poznatu kao CrashFix, u kojoj napadači izazivaju problem u sistemu i nude „rešenje“ koje zapravo dovodi do instalacije malvera. Ovu taktiku, pod nazivom KongTuke, hakeri koriste kako bi žrtve naterali da pokrenu zlonamerene komande verujući da rešavaju tehničke probleme.
Napad se temelji na varijanti ClickFix napada, u kojem žrtva sama pokreće zlonamerni kod, misleći da popravlja sistem. Kako organizacije sve više koriste alate kao što su blokatori oglasa, napadači su pronašli kreativne načine da iskoriste ova rešenja, čineći ovu pretnju posebno opasnom u poslovnim okruženjima.
NexShield trojanac: Maskirana pretnja
Napad počinje instalacijom lažnog blokatora oglasa pod nazivom NexShield, gotovo identičnog popularnom dodatku uBlock Origin Lite. Da bi izgledao legitimno, napadači su ga povezali sa Raymondom Hilom, tvorcem uBlock Origin-a, i čak uključili linkove ka lažnoj stranici za podršku. Zlonamerni dodatak je bio dostupan na Chrome Web Store prodavnici, pretvarajući se u pouzdano sigurnosno rešenje.
Nakon instalacije, NexShield ostaje neaktivan oko sat vremena, pre nego što pokrene napad Denial of Service (DoS), što uzrokuje zamrzavanje pregledača i na kraju njegov pad. Napadači namerno izazivaju kvar, a zatim nude lažno „rešenje“ koje nastavlja ciklus kompromitacije.
Kako napadači dobijaju pristup sistemima
Nakon što dođe do pada pregledača, korisnici dobijaju profesionalno dizajnirano obaveštenje koje tvrdi da je pregledač „neočekivano zaustavljen“ i da je potrebna bezbednosna provera. Ako korisnici kliknu na ponuđeni „popravak“, pojavljuje se lažna poruka sa upozorenjem „Security issues detected!“. U tom trenutku, malver koristi pametan trik: on automatski kopira zlonamernu komandu u clipboard korisnika, instruirajući ga da pokrene alat za sistemsku proveru koji zapravo instalira malver.
Komanda koristi legitimni Windows alat finger.exe, koji se preimenuje u ct.exe i omogućava preuzimanje malvera ModeloRAT na računar. Na ovaj način, žrtva praktično pokreće malver misleći da rešava tehnički problem sa pregledačem.
ModeloRAT: Nevidljiv malver u napadu
Kada je malver preuzet, instalira se ModeloRAT, trojanac koji napadačima omogućava potpunu kontrolu nad zaraženim računarom. Ovaj malver omogućava napadačima da prate aktivnosti korisnika, kradu osetljive podatke kao što su lozinke i druge lične informacije, i obavljaju daljinsku kontrolu nad sistemom. Da bi izbegao detekciju, malver se maskira pod imenima koja liče na legitimne programe, poput Spotify47 ili Adobe2841, što ga čini gotovo neprepoznatljivim.
Ova karakteristika čini ModeloRAT posebno opasnim u poslovnim okruženjima, gde bi mogao da izloži osetljive korporativne podatke bez da to korisnici ili IT tim primete. Dodatno, malver koristi napredne taktike za izbegavanje mnogih antivirusnih programa, što otežava njegovu detekciju.
Napredne taktike izbegavanja detekcije
Ono što ovu kampanju čini još opasnijom jeste sposobnost malvera da zaobiđe mere zaštite. On redovno proverava da li se nalazi u okruženju za analizu i testiranje, skenirajući više od 50 različitih sigurnosnih alata. Ako prepozna da je aktiviran na računaru istraživača, malver će ili zaustaviti svoju aktivnost ili će poslati lažnu poruku kao što je „TEST PAYLOAD!!!!“ kako bi zbunio analitičare i usporio istragu.
Ove napredne taktike omogućavaju malveru da ostane neotkriven duže vreme, što omogućava napadačima da zadrže pristup zaraženim sistemima i nastave špijuniranje ili krađu podataka.
Zaštita od sofisticiranog malvera
Stručnjaci savetuju korisnicima i kompanijama da preduzmu mere zaštite od ovih napada. Uvek proverite autora ekstenzija pre nego što ih instalirate, čak i kada dolaze iz zvaničnih prodavnica kao što je Chrome Web Store. Takođe, izbegavajte pokretanje komandi koje nudi nepoznata aplikacija ili linkovi, naročito kada tvrde da će popraviti sistemske greške.
Bezbednosni timovi treba da obučavaju zaposlene kako da prepoznaju ove vrste napada i implementiraju zaštitu na krajnjim tačkama koja može da prepozna i blokira malver poput ModeloRAT. Održavanje opreznosti i edukacija korisnika ključni su za smanjenje rizika i zaštitu osetljivih podataka.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO:
Kineski osnovci zapanjili planetu