S kampaněmi zdokonalenými pomocí profesionálně vypadajících animací se začali setkávat internetoví uživatelé.
Měli jste chuť někdy využít možnosti, které poskytuje malware jako služba?
Tyto útoky kombinují atraktivní vizuální prvky, známé z hostingové platformy, např. Discord, a pravidelně aktualizované malware kity, což jim pomáhá uniknout pozornosti uživatelů i bezpečnostních nástrojů, uvádějí výzkumníci firmy HP.
Příkladem může být třeba falešná aktualizace Adobe. Nakažený PDF soubor s logem Adobe přesměrovává uživatele na podvodnou stránku, která napodobuje aktualizaci jejich PDF čtečky.
Animovaný průběh instalace reálně připomíná oficiální aktualizaci a snaží se přimět uživatele ke stažení modifikované verze nástroje ScreenConnect. Tento legitimní nástroj pro vzdálený přístup pak naváže spojení se serverem útočníků a umožní převzetí zařízení.
Dalším příkladem je malware na Discordu, který obchází obranu Windows 11. Podle analytiků HP útočníci hostovali škodlivý kód přímo na platformě Discord, aby nemuseli budovat vlastní infrastrukturu a zároveň těžili z důvěryhodné reputace domény.
Video ke kávě
Máte čas na rychlé a informativní video?
Ještě před nasazením malware upravuje funkci Memory Integrity ve Windows 11, aby obešel tuto vrstvu zabezpečení.
Následně infekční řetězec doručí Phantom Stealer – infostealer nabízený na underground fórech formou předplatného modelu, s pravidelnými aktualizacemi a funkcemi pro krádež přístupových údajů a finančních informací.
DLL sideloading zase obchází skenery zabezpečení koncových bodů – útočníci se v tomto případě vydávali za kolumbijský úřad prokuratury a šířili podvržené právní výzvy prostřednictvím e-mailu.
Odkaz vedl na podvodný web napodobující vládní stránky, kde se automaticky spustila animace směřující uživatele k zadání „jednorázového hesla“. To je přimělo ke stažení a otevření zaheslovaného archivu, který obsahoval skrytý škodlivý DLL soubor.
Ten pak instaloval malware PureRAT, který útočníkům poskytl plný vzdálený přístup k zařízení oběti. Detekovatelnost těchto vzorků byla přitom extrémně nízká – antivirové nástroje totiž identifikovaly v průměru jen 4 % z nich.
„Hackeři využívají propracované vizuální prvky, jako jsou falešné ukazatele načítání nebo přihlašovací výzvy, aby škodlivé stránky působily důvěryhodně a naléhavě. Současně spoléhají na hotové balíčky malwaru, které se aktualizují stejně rychle jako běžný software. Díky tomu dokážou snadněji obejít bezpečnostní opatření a vynaložit méně úsilí na přípravu útoků,“ dodává Patrick Schläpfer, výzkumník v oblasti hrozeb v HP Security Lab.
Ten varuje také před krádežemi přihlašovacích cookies (tedy dat, která udržují aktivní přihlášení) či zneužití přístupových údajů. Místo krádeže hesel či obcházení dvoufaktorového ověření (MFA) totiž útočníci často zneužívají cookies, které potvrzují přihlášení uživatele, a získají tak okamžitý přístup k citlivým systémům.
„Když útočníci zneužívají legitimní platformy, napodobují značky, kterým lidé věří, a používají vizuálně přesvědčivé triky jako animace, i silné detekční nástroje někdy selžou. Těžko lze předpovědět všechny útoky. Pokud ale organizace izolují rizikové akce, jako je otevírání nedůvěryhodných souborů nebo stránek, získají pojistku, která zastaví hrozbu dřív, než způsobí škodu, a to bez narušení komfortu uživatelů,“ dodává Ian Pratt, šéf pro bezpečnost osobních systémů v HP.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU