Kibernetinio saugumo specialistai perspėjo apie naują kibernetinės aferos kampaniją, kurioje naudojami netikri „Windows“ naujinimai, siekiant apgauti aukas, kad jos atsisiųstų ir paleistų „Aurora infostealer“ savo įrenginiuose.
Gaukite 100€ kuponų rinkinį ir 30% nuolaidą pirmam apsipirkimui „Temu“ parduotuvėje
„Malwarebytes“ ekspertai neseniai pastebėjo kenkėjišką reklamos kampaniją, naudojančią iššokančias paslėptas reklamas, kad perduotų kenkėjiškų programų atsisiuntėją, kuris nepastebimas atsidaro naujame skirtuke.
Iššokančios paslėptos reklamos yra reklamos tipas, kuris įkeliamas už naršyklės ir matomas tik tada, kai vartotojas uždaro arba sumažina naršyklę. Šios reklamos, dažniausiai rodomos suaugusiesiems skirtose svetainėse su dideliu srautu, rodomos visame ekrane ir praneša vartotojui, kad reikia atnaujinti įrenginį.
Pasak šaltinių, šioje kampanijoje buvo panaudotas daugiau nei tuzinas domenų.
Pasimaunantys ant šios gudrybės asmenys atsisiunčia failą pavadinimu ChromeUpdate.exe, kuris iš tikrųjų yra kenkėjiškų programų atsisiuntimo įrankis, vadinamas „Invalid Printer“. Tyrėjai teigia, kad „Invalid Printer“ yra vadinamasis „visiškai neaptinkamas“ (FUD) kenkėjiškų programų atsisiuntėjas, kurį naudoja tik šis konkretus, bet neturintis pavadinimo grėsmės sukėlėjas.
Kai „Invalid Printer“ pasiekia savo tikslą, jis pirmiausia patikrina grafikos plokštę, kad sužinotų, ar yra įdiegtas virtualioje mašinoje, ar „smėlio dėžės“ aplinkoje (Sandbox). Jei nustatoma, kad įrenginys yra tinkamas taikinys, jis išpakuoja ir paleidžia „Aurora infostealer“ kopiją.
Kaip teigia jos kūrėjai, „Aurora“ yra kenkėjiška programa, turinti „plačias galimybes“ ir žemą aptikimą antivirusais. Pasak „Malwarebytes“, iš tikrųjų antivirusinėms programoms prireikė kelių savaičių, kad „Aurora“ diegimas būtų pradėtas žymėti kaip kenkėjiškas. Parašyta Golang kalba, „Aurora“ jau daugiau nei metus parduodama „dark web“ interneto forumuose. Tyrėjai mano, kad šios konkrečios kampanijos metu buvo įsilaužta į apie 600 įrenginių.
Pasak „Malwarebytes“ grėsmių žvalgybos vadovo Jérôme Segura, dauguma aukų yra turkai, nes kiekvieną kartą, kai „Virus Total“ gaunamas naujas pavyzdys, jis atkeliauja iš Turkijoje esančio vartotojo. Tačiau su tokiais pavojais gali susidurti ir kitų šalių gyventojai, įskaitant ir Lietuvą.
„Daugeliu atvejų failo pavadinimas atrodė taip, lyg būtų gautas iš kompiliatoriaus (pvz., build1_enc_s.exe)“, – užbaigė tyrėjas.