Ένα νέο κύμα της κακόβουλης εκστρατείας που εξαπλώνεται μέσω διαδικτυακών διαφημίσεων και στοχεύει χρήστες υπολογιστών με Windows ανακαλύφθηκε από την Kaspersky. Κατά τη διαδικτυακή περιήγηση, οι χρήστες μπορεί να κάνουν κλικ σε μια αόρατη διαφήμιση που καλύπτει ολόκληρη την οθόνη και τους ανακατευθύνει σε μια ψεύτικη σελίδα CAPTCHA ή σε ένα ψεύτικο μήνυμα σφάλματος του Chrome που τους προτρέπει να ακολουθήσουν βήματα για τη λήψη κακόβουλου λογισμικού. Τα δεδομένα που προέκυψαν από την τηλεμετρία της Kaspersky κατέγραψαν πάνω από 140.000 περιστατικά με αυτές τις κακόβουλες διαφημίσεις τον Σεπτέμβριο και τον Οκτώβριο του 2024, ενώ πάνω από 20.000 χρήστες ανακατευθύνθηκαν σε παραπλανητικές κακόβουλες ιστοσελίδες. Τα περισσότερα περιστατικά αφορούσαν χρήστες από τη Βραζιλία, την Ισπανία, την Ιταλία και τη Ρωσία. Για την προστασία τους, οι ειδικοί συμβουλεύουν τους χρήστες να είναι προσεκτικοί και να αποφεύγουν να ακολουθούν ύποπτα μηνύματα που τους ζητούν να προβούν σε ενέργειες στο διαδίκτυο.
Το CAPTCHA είναι μία λειτουργία ασφαλείας που χρησιμοποιείται σε ιστότοπους και εφαρμογές για να επιβεβαιώσει αν ένας χρήστης είναι άνθρωπος ή αυτοματοποιημένο πρόγραμμα ή bot. Νωρίτερα φέτος, υπήρξαν αναφορές για επιτιθέμενους που διένεμαν το κακόβουλο λογισμικό Lumma μέσω ψεύτικων CAPTCHA, στοχοποιώντας κυρίως gamers. Κατά την περιήγηση σε ιστότοπους gaming, οι χρήστες οδηγούνταν στο να κάνουν κλικ σε μια διαφήμιση που κάλυπτε ολόκληρη την οθόνη. Ανακατευθύνονταν έτσι σε μια ψεύτικη σελίδα CAPTCHA με παραπλανητικές οδηγίες που τους έπειθαν να κατεβάσουν το κακόβουλο λογισμικό. Όταν οι χρήστες έκαναν κλικ στο κουμπί “Δεν είμαι ρομπότ,” γινόταν αντιγραφή μιας κωδικοποιημένης εντολής Windows PowerShell στο πρόχειρο του υπολογιστή τους. Στη συνέχεια, τους ζητούσαν να την επικολλήσουν στο τερματικό και να πατήσουν Enter, κατεβάζοντας και εκκινώντας άθελά τους το Lumma. Το κακόβουλο λογισμικό έψαχνε για αρχεία σχετιζόμενα με κρυπτονομίσματα, cookies, και δεδομένα από διαχειριστές κωδικών πρόσβασης στη συσκευή του θύματος. Επίσης, επισκεπτόταν ιστοσελίδες διαφόρων πλατφορμών ηλεκτρονικού εμπορίου, αυξάνοντας τις προβολές τους, προσφέροντας στους επιτιθέμενους πρόσθετο οικονομικό όφελος.
Ένα ψεύτικο CAPTCHA με κακόβουλες οδηγίες
Στο νέο κύμα επιθέσεων, οι ερευνητές της Kaspersky εντόπισαν ένα άλλο σενάριο επίθεσης, στο οποίο, αντί για CAPTCHA, εμφανίζεται ένα μήνυμα σφάλματος ιστοσελίδας, διαμορφωμένο ώστε να μοιάζει με μήνυμα υπηρεσίας του περιηγητή Chrome. Οι επιτιθέμενοι καθοδηγούν τον χρήστη να «αντιγράψει τη διόρθωση (copy fix)» στο παράθυρο τερματικού (ενώ η διόρθωση είναι η ίδια κακόβουλη εντολή PowerShell όπως περιγράφηκε παραπάνω).
Ένα ψεύτικο μήνυμα που μιμείται τον Google Chrome
Η Kaspersky ανακάλυψε ότι το νέο κύμα επιθέσεων στοχοποιεί όχι μόνο gamers αλλά και άλλες ομάδες χρηστών και διανέμεται μέσω υπηρεσιών διαμοιρασμού αρχείων, διαδικτυακών εφαρμογών, ιστότοπων στοιχημάτων, σελίδων με περιεχόμενο ενηλίκων, κοινοτήτων anime και άλλων καναλιών. Οι επιτιθέμενοι χρησιμοποιούν επίσης το Trojan Amadey σε αυτό το κύμα επιθέσεων – το οποίο, όπως και το Lumma, κλέβει στοιχεία από δημοφιλείς browsers και πορτοφόλια κρυπτονομισμάτων, αλλά τραβάει επίσης και στιγμιότυπα οθόνης, αποκτά στοιχεία υπηρεσιών για εξ αποστάσεως πρόσβαση και κατεβάζει ένα εργαλείο απομακρυσμένης πρόσβασης στη συσκευή του θύματος, επιτρέποντας στους επιτιθέμενους να αποκτήσουν πλήρη πρόσβαση σε αυτή.
«Οι επιτιθέμενοι αγόρασαν θέσεις διαφήμισης, και αν ένας χρήστης δει τη διαφήμιση και κάνει κλικ σε αυτήν, ανακατευθύνεται σε κακόβουλα περιβάλλοντα, κάτι που αποτελεί κοινή τακτική επίθεσης. Το νέο κύμα αυτής της εκστρατείας περιλαμβάνει ένα ιδιαίτερα εκτεταμένο δίκτυο διανομής και ένα νέο σενάριο επίθεσης που απευθύνεται σε περισσότερα θύματα. Τώρα οι χρήστες παραπλανώνται είτε από ψεύτικα CAPTCHA είτε από μηνύματα σφάλματος ιστοσελίδας του Chrome, πέφτοντας θύματα ενός κακόβουλου λογισμικού με νέες δυνατότητες. Οι εταιρικοί και μεμονωμένοι χρήστες θα πρέπει να είναι προσεκτικοί και να σκέφτονται πριν ακολουθήσουν οποιαδήποτε ύποπτη προτροπή που βλέπουν στο διαδίκτυο», σχολιάζει ο Vasily Kolesnikov, Ειδικός Ασφαλείας στην Kaspersky.
Διαβάστε περισσότερα στο Securelist.
Για να αποκλείσετε απειλές που σχετίζονται με κακόβουλα λογισμικά κλοπής δεδομένων, ακολουθήστε τις παρακάτω συστάσεις.
Επιχειρήσεις:
- Ελέγξτε αν τα στοιχεία πρόσβασης για τις συσκευές ή τις διαδικτυακές εφαρμογές της εταιρείας σας έχουν παραβιαστεί από κακόβουλα λογισμικά κλοπής δεδομένων στην ειδική σελίδα Kaspersky Digital Footprint Intelligence.
- Χρησιμοποιήστε μια εξειδικευμένη μέθοδο ασφαλείας όπως το Kaspersky Endpoint Security for Business που προσφέρει έλεγχο εφαρμογών και διαδικτύου. Η ανάλυση συμπεριφοράς βοηθά στην ταχεία ανίχνευση κακόβουλης δραστηριότητας.
- Ενισχύστε τον ψηφιακό γραμματισμό των εργαζομένων σας για να ελαχιστοποιήσετε τη συμβολή του ανθρώπινου παράγοντα στους ψηφιακούς κινδύνους, χρησιμοποιώντας ένα διαδικτυακό εργαλείο που προσφέρει ολοκληρωμένη εκπαίδευση για το προσωπικό.
Μεμονωμένοι Χρήστες:
- Χρησιμοποιήστε μια ολοκληρωμένη μέθοδο ασφαλείας, όπως το Kaspersky Premium, σε όλες τις συσκευές σας, για να αποτρέψετε το άνοιγμα ύποπτων σελίδων ή phishing emails.
- Χρησιμοποιήστε το Kaspersky Password Manager για να αποθηκεύετε τους κωδικούς σας με ασφάλεια.