Reaguoti turėtų visi „Windows“ kompiuterių turėtojai: plinta itin klastingas virusas, kuris gali padaryti milžinišką žalą, sužinokite kaip apsisaugoti
Kibernetinio saugumo specialistai perspėjo apie naują kibernetinės aferos kampaniją, kurioje naudojami netikri „Windows“ naujinimai, siekiant apgauti aukas, kad jos atsisiųstų ir paleistų „Aurora infostealer“ savo įrenginiuose.
„Malwarebytes“ ekspertai neseniai pastebėjo kenkėjišką reklamos kampaniją, naudojančią iššokančias paslėptas reklamas, kad perduotų kenkėjiškų programų atsisiuntėją, kuris nepastebimas atsidaro naujame skirtuke.
Iššokančios paslėptos reklamos yra reklamos tipas, kuris įkeliamas už naršyklės ir matomas tik tada, kai vartotojas uždaro arba sumažina naršyklę. Šios reklamos, dažniausiai rodomos suaugusiesiems skirtose svetainėse su dideliu srautu, rodomos visame ekrane ir praneša vartotojui, kad reikia atnaujinti įrenginį.
Pasak šaltinių, šioje kampanijoje buvo panaudotas daugiau nei tuzinas domenų.
Pasimaunantys ant šios gudrybės asmenys atsisiunčia failą pavadinimu ChromeUpdate.exe, kuris iš tikrųjų yra kenkėjiškų programų atsisiuntimo įrankis, vadinamas „Invalid Printer“. Tyrėjai teigia, kad „Invalid Printer“ yra vadinamasis „visiškai neaptinkamas“ (FUD) kenkėjiškų programų atsisiuntėjas, kurį naudoja tik šis konkretus, bet neturintis pavadinimo grėsmės sukėlėjas.
Kai „Invalid Printer“ pasiekia savo tikslą, jis pirmiausia patikrina grafikos plokštę, kad sužinotų, ar yra įdiegtas virtualioje mašinoje, ar „smėlio dėžės“ aplinkoje (Sandbox). Jei nustatoma, kad įrenginys yra tinkamas taikinys, jis išpakuoja ir paleidžia „Aurora infostealer“ kopiją.
Kaip teigia jos kūrėjai, „Aurora“ yra kenkėjiška programa, turinti „plačias galimybes“ ir žemą aptikimą antivirusais. Pasak „Malwarebytes“, iš tikrųjų antivirusinėms programoms prireikė kelių savaičių, kad „Aurora“ diegimas būtų pradėtas žymėti kaip kenkėjiškas. Parašyta Golang kalba, „Aurora“ jau daugiau nei metus parduodama „dark web“ interneto forumuose. Tyrėjai mano, kad šios konkrečios kampanijos metu buvo įsilaužta į apie 600 įrenginių.
Pasak „Malwarebytes“ grėsmių žvalgybos vadovo Jérôme Segura, dauguma aukų yra turkai, nes kiekvieną kartą, kai „Virus Total“ gaunamas naujas pavyzdys, jis atkeliauja iš Turkijoje esančio vartotojo. Tačiau su tokiais pavojais gali susidurti ir kitų šalių gyventojai, įskaitant ir Lietuvą.
„Daugeliu atvejų failo pavadinimas atrodė taip, lyg būtų gautas iš kompiliatoriaus (pvz., build1_enc_s.exe)“, – užbaigė tyrėjas.
Mūsų portale paskelbtą informaciją griežtai draudžiama naudoti kitose internetinėse svetainėse, žiniasklaidos priemonėse ar platinti medžiagą bet kokiu kitu pavidalu be sutikimo. Visas turinys, jeigu nėra nurodytas kitas šaltinis, yra portalo nuosavybė.
Temos
Taip pat skaitykite
0 komentarų