Συναγερμός έχει σημάνει στον χώρο της κυβερνοασφάλειας, με την Microsoft να προειδοποιεί ότι επιτιθέμενοι μιμούνται ψεύτικες εκδόσεις δημοφιλών εφαρμογών για να παγιδεύσουν ανυποψίαστους χρήστες.
Η νέα απειλή βασίζεται σε μια γνώριμη αλλά ιδιαίτερα αποτελεσματική τακτική, όπου το malware κρύβεται πίσω από ονόματα και διεπαφές γνωστών προγραμμάτων όπως το Adobe Acrobat, το Microsoft Teams, το Zoom και το Google Meet.
Το ανησυχητικό στην υπόθεση δεν είναι μόνο το θέμα της μίμησης, αλλά το επίπεδο αξιοπιστίας που προσπαθούν να χτίσουν οι δράστες. Σύμφωνα με όσα έχουν γίνει γνωστά, τα ψεύτικα προγράμματα εμφανίζονται ως κανονικά υπογεγραμμένες εφαρμογές, κάνοντας πολύ πιο δύσκολο για τον μέσο χρήστη να καταλάβει ότι πρόκειται για παγίδα.
Η επίθεση ξεκινά με phishing emails και ψεύτικα PDF
Η επίθεση φαίνεται να ξεκινά με ιδιαίτερα πειστικά phishing emails, τα οποία παρακινούν τον παραλήπτη να ανοίξει ένα συνημμένο PDF. Μέχρι εδώ, η διαδικασία μοιάζει σχετικά συνηθισμένη. Το πρόβλημα αρχίζει όταν ο χρήστης προσπαθεί να ανοίξει το έγγραφο και βλέπει ένα κουμπί που τον προτρέπει να το ανοίξει με το Adobe.
Αντί όμως να μεταφέρεται σε επίσημη σελίδα της Adobe ή στο πραγματικό αρχείο, ο χρήστης οδηγείται σε μια ψεύτικη σελίδα λήψης. Από εκεί, το σύστημα ξεκινά τη λήψη μολυσμένου αρχείου. Σε άλλες παραλλαγές της ίδιας επίθεσης, οι χρήστες ενημερώνονται δήθεν ότι κάποιο πρόγραμμα είναι ξεπερασμένο και καλούνται να κατεβάσουν νέα έκδοση εφαρμογών όπως Teams, Zoom ή Google Meet, οι οποίες στην πραγματικότητα είναι φορείς malware.
Το πιο επικίνδυνο στοιχείο είναι ότι μοιάζουν απολύτως νόμιμα
Αυτό που κάνει τη συγκεκριμένη καμπάνια πιο επικίνδυνη από άλλες παρόμοιες είναι το γεγονός ότι τα ψεύτικα προγράμματα δεν περιορίζονται μόνο σε ένα παραπλανητικό όνομα ή ένα πρόχειρο εικονίδιο. Σύμφωνα με τη Microsoft, χρησιμοποιούν πιστοποιητικό Extended Validation, κάτι που τους επιτρέπει να εμφανίζονται ως υπογεγραμμένες και φαινομενικά αξιόπιστες εφαρμογές.
Με άλλα λόγια, κατά την εγκατάστασή τους, ο χρήστης μπορεί να δει ενδείξεις που συνήθως συνδέονται με νόμιμο λογισμικό. Αυτό δημιουργεί ένα ψευδές αίσθημα ασφάλειας, το οποίο είναι ακριβώς το σημείο στο οποίο ποντάρουν οι δράστες για να περάσουν απαρατήρητοι.
Πώς εγκαθίσταται και παραμένει στο σύστημα
Αφού εγκατασταθεί, το ψεύτικο λογισμικό ενεργοποιεί το πραγματικό κακόβουλο φορτίο. Σύμφωνα με τις πληροφορίες, αναπτύσσει εργαλεία απομακρυσμένης διαχείρισης και παρακολούθησης, όπως Tactical RMM και ScreenConnect, επιτρέποντας ουσιαστικά στους επιτιθέμενους να αποκτήσουν έλεγχο στο σύστημα του θύματος.
Η επίθεση γίνεται ακόμη πιο ύπουλη επειδή το κακόβουλο λογισμικό δημιουργεί και δεύτερο αντίγραφο του εαυτού του μέσα στον φάκελο Program Files, ώστε να μοιάζει ακόμη περισσότερο με κανονική εγκατεστημένη εφαρμογή. Στη συνέχεια, εισχωρεί στο λειτουργικό σύστημα ως υπηρεσία των Windows, κάτι που του επιτρέπει να εκτελείται αυτόματα κάθε φορά που ανοίγει ο υπολογιστής.
Η απειλή αφορά κυρίως εργαζόμενους αλλά όχι μόνο
Η Microsoft εκτιμά ότι ο βασικός στόχος της συγκεκριμένης επίθεσης είναι οι εργαζόμενοι, πιθανότατα επειδή χρησιμοποιούν καθημερινά εφαρμογές συνεργασίας και τηλεδιασκέψεων. Ωστόσο, αυτό δεν σημαίνει ότι οι υπόλοιποι χρήστες είναι ασφαλείς. Οποιοσδήποτε λάβει ένα ύποπτο email με σύνδεσμο ή αρχείο που ζητά εγκατάσταση ή αναβάθμιση λογισμικού μπορεί να βρεθεί εκτεθειμένος.
Η απλή παρουσία γνωστού ονόματος σε ένα email δεν αρκεί πλέον για να θεωρείται αξιόπιστο. Αντίθετα, οι χρήστες πρέπει να είναι πολύ πιο επιφυλακτικοί, ειδικά όταν καλούνται να κατεβάσουν αρχεία ή να ακολουθήσουν συνδέσμους που εμφανίζονται ξαφνικά.
Τι πρέπει να κάνουν οι χρήστες
Η πιο ασφαλής πρακτική είναι να μην εγκαθιστά κανείς προγράμματα απευθείας από συνδέσμους που έρχονται μέσω email, ακόμη και αν το μήνυμα δείχνει πειστικό. Αν υπάρχει πραγματική ανάγκη για ενημέρωση ή εγκατάσταση μιας εφαρμογής, αυτή θα πρέπει να γίνεται μόνο από τον επίσημο ιστότοπο της εταιρείας.
Σε περιπτώσεις όπου ένα email φαίνεται ύποπτο, είναι προτιμότερο να επιβεβαιώνεται η γνησιότητά του μέσω άλλου καναλιού επικοινωνίας, όπως μήνυμα ή τηλεφωνική επαφή με τον αποστολέα.
Παράλληλα, η ύπαρξη αξιόπιστου λογισμικού προστασίας σε έναν υπολογιστή με Windows μπορεί να λειτουργήσει ως επιπλέον γραμμή άμυνας απέναντι σε απειλές που δεν είναι εύκολο να εντοπιστούν με γυμνό μάτι.
