Οι εγκληματίες του κυβερνοχώρου στέλνουν ανεπιθύμητα μηνύματα σε φόρμες επικοινωνίας ιστότοπου και φόρουμ συζήτησης, για να διανείμουν αρχεία Excel XLL που κατεβάζουν και εγκαθιστούν το κακόβουλο λογισμικό RedLine, που κλέβει πληροφορίες και κωδικούς πρόσβασης.
Δείτε επίσης: Microsoft Excel: Πώς να αλλάξετε τη μορφή της ημερομηνίας
Πρόκειται για ένα Trojan, που κλέβει πληροφορίες και cookies, ονόματα χρηστών και κωδικούς πρόσβασης, καθώς και πιστωτικές κάρτες που είναι αποθηκευμένες σε προγράμματα περιήγησης ιστού, καθώς και διαπιστευτήρια και αρχεία FTP από μια μολυσμένη συσκευή.
Εκτός από την κλοπή δεδομένων, το RedLine μπορεί να εκτελέσει εντολές, να κατεβάσει και να εκτελέσει περαιτέρω κακόβουλο λογισμικό και να δημιουργήσει στιγμιότυπα οθόνης, της ενεργής οθόνης των Windows.
Όλα αυτά τα δεδομένα συλλέγονται και αποστέλλονται στους εισβολείς για να πουληθούν σε παράνομες αγορές ή να χρησιμοποιηθούν για άλλες κακόβουλες και δόλιες δραστηριότητες.
Οι φόρμες επικοινωνίας μπορεί να έχουν πολλές διαφορετικές μορφές, συμπεριλαμβανομένων πλαστών αιτημάτων διαφήμισης, οδηγών δωρεάν διακοπών και προωθήσεων ιστότοπων.
Ωστόσο όπως αποκαλύφθηκε, πρόκειται για μια ευρέως διαδεδομένη καμπάνια που στοχεύει πολλούς ιστότοπους που χρησιμοποιούν δημόσια φόρουμ ή συστήματα σχολίων άρθρων.
Σε ορισμένες περιπτώσεις, οι κακόβουλοι παράγοντες έχουν δημιουργήσει ψεύτικους ιστότοπους για να φιλοξενούν τα κακόβουλα αρχεία Excel XLL που χρησιμοποιούνται για την εγκατάσταση του κακόβουλου λογισμικού.
Για παράδειγμα, μια καμπάνια χρησιμοποίησε ένα spam μήνυμα και έναν ψεύτικο ιστότοπο που μιμήθηκε τον νόμιμο ιστότοπο Plutio.
Άλλα ανεπιθύμητα μηνύματα προσποιούνται ότι είναι αναφορές πληρωμής, αιτήματα για διαφημίσεις ή οδηγοί δώρων με συνδέσμους σε κακόβουλα αρχεία XLL που φιλοξενούνται στο Google Drive.
Δείτε ακόμα: Google Drive update: Νέες δυνατότητες στην Android έκδοση
Ιδιαίτερο ενδιαφέρον παρουσιάζει ένα δέλεαρ που στοχεύει κατόχους ιστοσελίδων με αιτήματα για διαφήμιση στον ιστότοπό τους, που τους ζητά να αναθεωρήσουν τους όρους της προσφοράς. Αυτό οδηγεί σε ένα κακόβουλο αρχείο «terms.xll» που εγκαθιστά το κακόβουλο λογισμικό.
Αυτές οι καμπάνιες ανεπιθύμητης αλληλογραφίας έχουν σχεδιαστεί για να προωθήσουν κακόβουλα αρχεία Excel XLL που κάνουν λήψη και εγκατάσταση του κακόβουλου λογισμικού RedLine στις συσκευές Windows των θυμάτων.
Ένα αρχείο XLL είναι ένα πρόσθετο που επιτρέπει στους προγραμματιστές να επεκτείνουν τη λειτουργικότητα του Excel διαβάζοντας και γράφοντας δεδομένα, εισάγοντας δεδομένα από άλλες πηγές ή δημιουργώντας προσαρμοσμένες συναρτήσεις για την εκτέλεση διαφόρων εργασιών.
Το αρχείο XLL είναι απλώς ένα αρχείο DLL, που περιλαμβάνει μια συνάρτηση «xlAutoOpen» που εκτελείται από το Microsoft Excel όταν ανοίγει το πρόσθετο.
Η μη αυτόματη εκτέλεση του DLL με την εντολή regsvr32.exe ή την εντολή “rundll32 name.xll, xlAutoOpen” θα εξάγει το πρόγραμμα wget.exe στον φάκελο %UserProfile% και θα το χρησιμοποιήσει για λήψη του δυαδικού αρχείου RedLine από μια απομακρυσμένη τοποθεσία.
Αυτό το κακόβουλο δυαδικό αρχείο αποθηκεύεται ως %UserProfile%\JavaBridge32.exe και στη συνέχεια εκτελείται.
Θα δημιουργηθεί επίσης μια καταχώρηση αυτόματης εκτέλεσης μητρώου για αυτόματη εκκίνηση του προγράμματος κλοπής πληροφοριών RedLine κάθε φορά που τα θύματα συνδέονται στα Windows.
Μόλις εκτελεστεί το κακόβουλο λογισμικό, θα αναζητήσει πολύτιμα δεδομένα για κλοπή, συμπεριλαμβανομένων των διαπιστευτηρίων και των πιστωτικών καρτών που είναι αποθηκευμένα στα προγράμματα περιήγησης Chrome, Edge, Firefox, Brave και Opera.
Δείτε επίσης: Το νέο update του Opera υπόσχεται προστασία της ιδιωτικότητας!
Εάν έχετε πέσει θύμα αυτής της καμπάνιας, θα πρέπει να υποθέσετε ότι οι αποθηκευμένοι κωδικοί πρόσβασης έχουν παραβιαστεί και να τους αλλάξετε αμέσως. Επιπλέον, εάν έχετε αποθηκευμένες πιστωτικές κάρτες στα προγράμματα περιήγησής σας, θα πρέπει να επικοινωνήσετε με την εταιρεία της πιστωτικής σας κάρτας για να την ειδοποιήσετε για το περιστατικό.
Καθώς τα αρχεία XLL είναι εκτελέσιμα, οι φορείς απειλών μπορούν να τα χρησιμοποιήσουν για να εκτελέσουν μια ποικιλία κακόβουλων δραστηριοτήτων σε μια συσκευή. Επομένως, δεν πρέπει ποτέ να ανοίξετε ένα εκτός εάν προέρχεται από αξιόπιστη πηγή.
Αυτά τα αρχεία δεν αποστέλλονται γενικά ως συνημμένα, αλλά εγκαθίστανται μέσω άλλου προγράμματος ή μέσω του διαχειριστή των Windows.
Επομένως, εάν λάβετε ένα email ή άλλο μήνυμα που διανέμει αυτούς τους τύπους αρχείων, απλώς διαγράψτε το μήνυμα και αναφέρετέ το ως ανεπιθύμητο.
