Χάκερς προωθούν fake sites που «πλαστογραφούν» το Microsoft Store, το Spotify και έναν online converter εγγράφων και διανέμουν ένα info-stealing malware για να κλέψουν πιστωτικές κάρτες και κωδικούς πρόσβασης που έχουν αποθηκευτεί σε web browsers. Η εν λόγω κακόβουλη δραστηριότητα ανακαλύφθηκε από την εταιρεία κυβερνοασφάλειας “ESET”, η οποία εξέδωσε στις 19 Απριλίου προειδοποίηση στο Twitter, ώστε οι χρήστες να βρίσκονται σε επιφυλακή για την κακόβουλη εκστρατεία.
Σε μια συνομιλία με τον Jiri Kropac, επικεφαλής των εργαστηρίων ανίχνευσης απειλών της ESET, το BleepingComputer έμαθε ότι η επίθεση διεξάγεται μέσω κακόβουλων διαφημίσεων που προωθούν εφαρμογές, οι οποίες φαίνεται να είναι νόμιμες αλλά στην πραγματικότητα «μολύνουν» τους χρήστες με malware. Για παράδειγμα, μία από τις διαφημίσεις που χρησιμοποιούνται σε αυτήν την επίθεση προωθεί μια online εφαρμογή σκακιού.
Διαβάστε επίσης: Ιρανοί χρησιμοποιούν fake Instagram accounts για να προσελκύσουν και να βλάψουν Ισραηλινούς
Ωστόσο, όταν οι χρήστες κάνουν κλικ στη διαφήμιση, μεταφέρονται σε μια fake σελίδα του Microsoft Store για την fake εφαρμογή σκακιού «xChess 3», της οποίας η λήψη γίνεται αυτόματα από έναν Amazon AWS server. Το ληφθέν αρχείο zip ονομάζεται «xChess_v.709.zip» [VirusTotal], που είναι στην πραγματικότητα το «Ficker» ή «FickerStealer», ένα info-stealing malware.
Άλλες διαφημίσεις από αυτήν την malware εκστρατεία υποτίθεται ότι είναι για το Spotify ή έναν online converter εγγράφων. Όταν κάποιος τις επισκέπτεται, οι σελίδες προορισμού τους κατεβάζουν επίσης αυτόματα ένα αρχείο zip που περιέχει το Ficker malware.
Μόλις ένας χρήστης αποσυμπιέσει το αρχείο και εκκινήσει το εκτελέσιμο, αντί να δει μία νέα online εφαρμογή σκακιού ή το Spotify software, το Ficker malware θα «τρέξει» και θα αρχίσει να κλέβει τα δεδομένα που είναι αποθηκευμένα στον υπολογιστή του.
Δείτε ακόμη: Tech support scammers στοχεύουν πελάτες των Microsoft/McAfee με fake ανανεώσεις συνδρομής
Τί είναι το Ficker malware;
Το Ficker είναι ένα info-stealing trojan (trojan που κλέβει πληροφορίες), το οποίο κυκλοφόρησε σε ρωσόφωνα hacking φόρουμ τον Ιανουάριο, οπότε ο προγραμματιστής του άρχισε να ενοικιάζει το malware σε άλλους κακόβουλους παράγοντες. Σε μια δημοσίευση φόρουμ, ο προγραμματιστής περιγράφει τις δυνατότητες του malware και επιτρέπει σε άλλους κακόβουλους παράγοντες να ενοικιάσουν το software από οποιονδήποτε, για μία εβδομάδα έως έξι μήνες.
Χρησιμοποιώντας αυτό το malware, οι κακόβουλοι παράγοντες μπορούν να κλέψουν credentials που είναι αποθηκευμένα σε web browsers, desktop messaging clients (Pidgin, Steam, Discord) και FTP clients.
Πρόταση: LinkedIn: Χάκερς κρύβουν malware σε fake προσφορές εργασίας!
Εκτός από την κλοπή κωδικών πρόσβασης, ο προγραμματιστής ισχυρίζεται ότι το malware μπορεί να κλέψει πάνω από δεκαπέντε πορτοφόλια κρυπτονομισμάτων και έγγραφα, καθώς και να τραβήξει screenshots των ενεργών εφαρμογών που εκτελούνται στους υπολογιστές των θυμάτων. Αυτές οι πληροφορίες συγκεντρώνονται, στη συνέχεια, σε ένα αρχείο zip και μεταφέρονται στους επιτιθέμενους, που μπορούν αργότερα να εξάγουν τα δεδομένα και να τα χρησιμοποιήσουν για άλλες κακόβουλες δραστηριότητες.
Λόγω της εκτεταμένης λειτουργικότητας του Ficker malware, τα θύματα αυτής της εκστρατείας θα πρέπει να αλλάξουν αμέσως τους online κωδικούς πρόσβασής τους, να ελέγξουν firewalls για ύποπτους port forwarding κανόνες και να πραγματοποιήσουν μια διεξοδική antivirus σάρωση στον υπολογιστή τους, προκειμένου να ελέγξουν για επιπλέον malware.
Πηγή πληροφοριών: bleepingcomputer.com
