Lažne porno stranice šire opasni malver koji krade podatke
Podijeli vijest
Nova opasnost na internetu
Istraživači iz kompanije Acronis upozoravaju na novu kampanju koja kombinuje ClickFix trikove i lažne porno stranice kako bi prevarila korisnike da pokrenu maliciozne komande pod maskom “kritičnog” sigurnosnog ažuriranja za Windows.
Prema informacijama iz Acronisa, ova prevara koristi kopije popularnih porno stranica, kao što su xHamster i PornHub, a korisnici bivaju namamljeni putem oglasa. Izbor pornografskog sadržaja nije slučajan, jer je cilj da se žrtva, već zatečena gledanjem kompromitujućeg sadržaja, dovede u stanje veće podložnosti psihološkom pritisku i navede da instalira lažno ažuriranje.
Detalji napada i kako se zaštititi
ClickFix napadi su zabilježili nagli porast u proteklih godinu dana, a podaci Microsofta pokazuju da je ova metoda postala najčešći način inicijalnog pristupa sistemima, čineći čak 47% svih napada. Osnovna ideja je da se korisnik navede da samostalno izvrši zlonamjernu komandu.
U ovoj najnovijoj kampanji, koja je nazvana JackFix, žrtvi se prikazuje izuzetno uvjerljivo lažno upozorenje o ažuriranju operativnog sistema Windows. Ovo upozorenje zauzima cijeli ekran i traži od korisnika da pokrene Windows Run dijalog, a zatim da pritisne tipke Ctrl + V i Enter, čime se pokreće čitav lanac infekcije.
Acronis ističe da lažni prozor za ažuriranje Windowsa zapravo nije ni malver ni sistemska komponenta. Cijela stranica je, zapravo, samo HTML i JavaScript kod unutar web pregledača. Pored pokušaja da se onemoguće tipke Escape, F11, F5 i F12, stranica pokušava da zadrži korisnika u režimu prikaza preko cijelog ekrana, iako tipka Escape ipak funkcioniše.
Prvi korak u napadu je MSHTA payload koji se pokreće putem mshta.exe. On učitava JavaScript kod koji zatim pokreće PowerShell komandu. Domene koje sadrže payload vraćaju maliciozni odgovor samo kada im se pristupi putem irm ili iwr PowerShell komandi, što predstavlja dodatni nivo prikrivanja.
Preuzeti PowerShell koristi agresivan pristup za eskalaciju privilegija, a kada u tome uspije, skripta distribuira različite malvere, uključujući Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey, kao i različite loader-e i RAT-ove.
Posljedice i preporuke
Acronis ovu taktiku naziva najdrastičnijim primjerom “spray and pray” pristupa. Ako samo jedan payload uspije da se pokrene, žrtvi su ugrožene lozinke, kripto novčanici i svi podaci koji se nalaze u pregledačima. Ukoliko se aktivira loader ili RAT, napad može brzo eskalirati i dovesti do potpunog preuzimanja sistema.
