Egy kifinomult átverés éberségbe helyezte a kriptovaluta és technológia felhasználói közösségét, miután egy rejtett rosszindulatú programok a Microsoft Office-ban. Ez a kiberbiztonsági szakértők által nemrégiben azonosított fenyegetés állítólag legitim eszköztárnak álcázta magát a népszerű letöltési platformokon, és az áldozatok tudta nélkül akart ellopni digitális alapokat.
A csalás a SourceForge portálon közzétett hamis Microsoft Office-bővítménycsomagok használatát foglalja magában., egy jól ismert szoftvertárhely-platform. Ezek a fájlok, bár ártalmatlannak és hasznosnak mutatják be, ClipBanker névre keresztelt rosszindulatú programot tartalmaznak, amely a felhasználók által lemásolt kriptovaluta címek elfogására specializálódott, hogy pénzt irányítson át a támadók pénztárcájába.
ClipBanker: Rosszindulatú programok rejtve a Microsoft Office-ban
A ClipBanker nem jár el láthatóan a felhasználó számára, hanem megvárja, amíg a felhasználó másolja a pénztárca címét., bevett gyakorlat az előadás során kriptoeszköz transzferek. Ahelyett, hogy fenntartaná ezt a címet, a rosszindulatú program egy másikkal helyettesíti a támadó irányítása alatt, így elirányítja a pénzt anélkül, hogy azonnali gyanút kelt.
A Kaspersky biztonsági cég az elsők között vizsgálta és figyelmeztette ezt a támadást., kiemelve, hogy az egyes esetekben használt megtévesztő csomag neve „officepackage”. Bár hitelesnek tűnő összetevőket tartalmaz, valódi célja a felhasználók rendszereinek kompromittálása.
Társadalmi tervezés és fejlett kijátszási technikák
A bûnözõk által a rosszindulatú fájl hitelesítésére alkalmazott egyik taktika a hivatalos oldalakhoz nagyon hasonló letöltési oldal létrehozása.. Megjeleníti a népszerű eszközök és telepítőgombok nevét, amelyek legitim folyamatokat utánoznak, növelve annak valószínűségét, hogy a felhasználók csapdába esnek.
A kártevő a pénztárcacímek cseréje mellett információkat gyűjt a fertőzött rendszerről., beleértve az IP-címeket, a földrajzi helyet és a felhasználónevet. Ezeket az információkat a Telegram üzenetküldő platformon keresztül továbbítják a vírus üzemeltetőihez, lehetővé téve a támadók számára, hogy fenntartsák az eszköz távoli vezérlését, vagy akár harmadik felekkel kereskedjenek.
A technikai részletek felvetik a gyanút ezzel a Microsoft Office-ban rejtett kártevővel kapcsolatban
Az egyik legvilágosabb jele annak, hogy valami nincs rendben, a letöltött fájlok mérete.. A Kaspersky szerint a rosszindulatú alkalmazások közül több szokatlanul kicsi, ami szokatlan a Microsoft Office szoftvereknél, még tömörített állapotban is. Más csomagok viszont értelmetlen adatokkal vannak felfújva, hogy hiteles struktúra látszatát keltsék.
A kártevőt úgy tervezték, hogy elkerülje az észlelést. Ellenőrizheti az eszköz környezetét, hogy megbizonyosodjon arról, hogy az már megvan-e, vagy a víruskereső eszközök azonosítani tudják-e. Ha ezeknek az elemeknek bármelyikét észleli, képes önmegsemmisíteni, ami megnehezíti a szakértők számára a későbbi elemzést.
Célozni a felhasználókat? Többnyire oroszul beszélnek
Az eddig feltárt fertőzések nagy része Oroszországban történt.. A Kaspersky jelentés becslése szerint a rendszer által megtévesztettek 90%-a ebből az országból származik. Becslések szerint idén január és március között több mint 4.600 felhasználó esett áldozatul a csalásnak.
A támadók által használt felület nyelve is orosz, ami arra utal, hogy ez a közönség volt az elsődleges célpont.. Mivel azonban a szoftver világszerte terjeszthető az interneten keresztül, nem kizárt, hogy a következő hónapokban más országokat is érinthet.
Javaslatok a Microsoft Office-ban rejtett kártevő csapdájának elkerülésére
A szoftverek kizárólag hivatalos forrásból történő letöltése a leghatékonyabb intézkedés a fertőzések kockázatának csökkentésére.. A Kaspersky óva int a kalózprogramok vagy alternatív webhelyek használatától, amelyek gyakran kevesebb minőség-ellenőrzést és ellenőrzési követelményt tartalmaznak.
A bűnözők továbbra is frissítik technikáikat, hogy hitelesnek adják vissza programjaikat.. A népszerű platformok használata és a lenyűgöző felületek kialakítása különösen sebezhetővé teszi a kevésbé tapasztalt felhasználókat.
Egyre növekvő fenyegetés az Office-on kívül
Az ilyen típusú rosszindulatú programok nem egyedi esetek.. A szektor más cégei, például a Threat Fabric is beszámoltak új változatok megjelenéséről, amelyek kifejezetten az Android felhasználókat érintik. Az egyik észlelt módszer az, hogy hamis képernyőket jelenítenek meg, amelyek a pénztárca kezdő kifejezését kérik, így a támadó teljes mértékben átveheti az irányítást az áldozat digitális pénzeszközei felett.
A támadások folyamatos diverzifikációja azt mutatja, hogy a bűnözők nem csak azonnali haszonra törekednek. Szintén hajlandóak eladni a berendezések feletti irányítást harmadik feleknek, vagy a kompromittált infrastruktúrát új bűnözői kampányokhoz felhasználni.
A zseniális stratégia rosszindulatú programok elrejtése a legális Microsoft Office-eszközökben rávilágít arra, hogy mennyire kiszolgáltatottak lehetnek a felhasználók, ha nem hivatalos forrásokra támaszkodnak. Ezek az elsősorban kriptovalutákat célzó támadások az internetezők technikai tudásának hiányát használják ki, és parancsikonokat keresnek.
Mindig tanácsos ellenőrizni a szoftver forrását a telepítés előtt, és nem bízni a gyanús webhelyekben vagy hivatkozásokban. Ossza meg ezt az információt, hogy több felhasználó értesüljön a Microsoft Office-ban rejtett kártevő új funkcióiról és veszélyeiről.