Κακόβουλοι παράγοντες χρησιμοποιούν ψεύτικους ιστότοπους που μεταμφιέζονται ως νόμιμες λύσεις antivirus από την Avast, το Bitdefender και το Malwarebytes, για να διαδώσουν malware ικανό να κλέβει ευαίσθητες πληροφορίες από συσκευές Android και Windows.
See also: Η Rockwell Automation λέει στους διαχειριστές να αποσυνδέσουν τις συσκευές ICS
"Η φιλοξενία malware μέσω ψεύτικων ιστοτόπων antivirus που φαίνονται νόμιμοι είναι επικίνδυνοι για τους consumers, ειδικά αυτούς που προσπαθούν να προστατεύσουν τις συσκευές τους από επιθέσεις στον cyberspace", stated ο ερευνητής ασφαλείας της Trellix, Gurumoorthi Ramanathan.
Η λίστα των ιστοσελίδων παρουσιάζεται παρακάτω:
- avast-securedownload[.]com, το οποίο χρησιμοποιείται για την παράδοση του trojan of SpyNote με τη μορφή ενός αρχείου πακέτου Android (“Avast.apk“) το οποίο, μόλις εγκατασταθεί, ζητά παρεμβατικές άδειες για ανάγνωση μηνυμάτων SMS και αρχεία καταγραφής κλήσεων, εγκατάσταση και διαγραφή εφαρμογών, λήψη στιγμιότυπων οθόνης, παρακολούθηση της τοποθεσίας, ακόμα και εξόρυξη κρυπτονομισμάτων
- bitdefender-app[.]com, το οποίο χρησιμοποιείται για την παράδοση ενός αρχείου αρχείου ZIP (“setup-win-x86-x64.exe.zip“) που αναπτύσσει το malware κλοπής πληροφοριών Lumma
- malwarebytes[.]pro, που χρησιμοποιείται για την παράδοση ενός αρχείου αρχειοθέτησης RAR (“MBSetup.rar“) που αναπτύσσει το malware κλοπής πληροφοριών StealC
See also: Microsoft Exchange Server: Εκμετάλλευση ευπαθειών για διανομή keylogger
Η εταιρεία κυβερνοασφάλειας είπε ότι αποκάλυψε επίσης ένα δυαδικό αρχείο Trellix με το όνομα “AMCoreDat.exe” που χρησιμεύει ως αγωγός για την παράδοση ενός malware που μπορεί να συλλέξει πληροφορίες θυμάτων, συμπεριλαμβανομένων των δεδομένων του προγράμματος περιήγησης, και να το διευρύνει σε έναν απομακρυσμένο server.
Προς το παρόν δεν είναι σαφές πώς διανέμονται αυτοί οι ψεύτικοι ιστότοποι antivirus, αλλά παρόμοιες καμπάνιες στο παρελθόν έχουν χρησιμοποιήσει techniques όπως η κακή διαφήμιση και το search engine optimization (SEO) poisoning.
Το κακόβουλο λογισμικό κλοπής γίνεται όλο και περισσότερο μια κοινή απειλή, με τους criminals του κυβερνοχώρου να διαφημίζουν πολλές προσαρμοσμένες παραλλαγές με διαφορετικά επίπεδα πολυπλοκότητας. Αυτό περιλαμβάνει νέους κλέφτες όπως Acrid, SamsStealer, ScarletStealer και Waltuhium Grabber, καθώς και ενημερώσεις σε υπάρχοντες όπως το SYS01stealer (γνωστός και ως Album Stealer ή S1deload Stealer).
See also: Τα εργαλεία απομακρυσμένης πρόσβασης που ευθύνονται για τις περισσότερες επιθέσεις ransomware
Ποιες είναι οι καλύτερες πρακτικές για την πρόληψη malware;
Η χρήση ενημερωμένου λογισμικού ασφαλείας είναι κρίσιμη για την πρόληψη malware, όπως αυτό που παραδίδεται μέσω των ψεύτικων ιστότοπων antivirus. Εγκαταστήστε ένα αξιόπιστο πρόγραμμα antivirus και διατηρήστε το ενημερωμένο για να ανιχνεύει και να αποτρέπει νέες απειλές. Αποφύγετε την επίσκεψη σε αμφίβολους ιστότοπους και μην κατεβάζετε αρχεία από μη αξιόπιστες πηγές. Εκπαιδεύστε τον εαυτό σας και τους άλλους σχετικά με τις απειλές του κακόβουλου λογισμικού. Χρησιμοποιήστε ισχυρούς και μοναδικούς κωδικούς πρόσβασης για κάθε λογαριασμό σας. Ενεργοποιήστε την αυτόματη ενημέρωση για το λειτουργικό σας σύστημα και τις εφαρμογές σας. Αποφύγετε να ανοίγετε συνημμένα αρχεία ή να κάνετε κλικ σε συνδέσμους από άγνωστους ή μη αξιόπιστους αποστολείς. Τέλος κρατήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας.
Source: thehackernews
