Έκτακτη ανακοίνωση: Μην κάνετε ποτέ αυτό το κείμενο «copy-paste»

Σας ζητά το Google Chrome να κάνετε αντιγραφή-επικόλληση κώδικα; Προσοχή, μπορεί να είναι μια απάτη για κλοπή χρημάτων.

Μια διαδικτυακή εταιρεία προστασίας ανακάλυψε μια νέα τεχνική που έχει τη δυνατότητα να γίνει κακόβουλο λογισμικό κλοπής χρημάτων. Ωστόσο, η απάτη μπορεί να εντοπιστεί και να αποφευχθεί εύκολα.

Οι ερευνητές παρατήρησαν αυτή την τεχνική ήδη από τον Μάρτιο του 2024
Η Proofpoint, μια εταιρεία προστασίας στο διαδίκτυο, έχει επισημάνει μια καμπάνια που βρίσκεται σε εξέλιξη, η οποία μιμείται το επίσημο αναδυόμενο παράθυρο και καθοδηγεί τον χρήστη με σενάρια. Ακολουθώντας αυτές τις οδηγίες, έχει τη δυνατότητα να κλέψει χρήματα. Οι ερευνητές της Proofpoint εντόπισαν μια ολοένα και πιο δημοφιλή τεχνική που αξιοποιεί τη μοναδική μηχανική για την εκτέλεση του PowerShell και την εγκατάσταση κακόβουλου λογισμικού.

Η εταιρεία λέει ότι «παρατήρησε μια αύξηση σε μια τεχνική που αξιοποιεί τη μοναδική κοινωνική μηχανική που κατευθύνει τους χρήστες να αντιγράψουν και να επικολλήσουν κακόβουλα σενάρια PowerShell για να μολύνουν τους υπολογιστές τους με κακόβουλο λογισμικό».

Τι είναι αυτό το κακόβουλο λογισμικό κλοπής;

Είτε η αρχική καμπάνια ξεκινά μέσω malspam είτε παραδίδεται μέσω προγράμματος περιήγησης ιστού, η τεχνική είναι παρόμοια, προειδοποιούν οι ειδικοί. Στους χρήστες εμφανίζεται ένα αναδυόμενο πλαίσιο κειμένου που υποδηλώνει ότι παρουσιάστηκε σφάλμα κατά την προσπάθεια ανοίγματος του εγγράφου ή της ιστοσελίδας και παρέχονται οδηγίες για την αντιγραφή και επικόλληση μιας κακόβουλης δέσμης ενεργειών στο τερματικό PowerShell ή το παράθυρο διαλόγου Εκτέλεση των Windows για να εκτελεστεί τελικά το σενάριο μέσω PowerShell.

Η έρευνα δείχνει επίσης ότι οι φορείς του εγκλήματος στον κυβερνοχώρο χρησιμοποιούν την τεχνική και την έχουν παραδώσει σε πολλαπλές μορφές κακόβουλου λογισμικού.

To ίδιο και μέσω email

Εκτός από το Google Chrome, το ίδιο μπορεί επίσης να έχει τη μορφή δέλεαρ μέσω email. Τα μηνύματα ηλεκτρονικού ταχυδρομείου, συνήθως αυτά που φαίνεται να σχετίζονται με την εργασία ή την εταιρεία, θα περιέχουν ένα αρχείο HyperText Markup Language που μοιάζει με το Microsoft Word και έχει μια ποικιλία μηνυμάτων σφάλματος.

Ομοίως, ζητήθηκε από τους χρήστες να ανοίξουν το PowerShell και να αντιγράψουν μέσω ενός κακόβουλου κώδικα, σε μια παραπλανητική «εκστρατεία» που, σύμφωνα με την Proofpoint, ήταν ευρέως διαδεδομένη. Οι ειδικοί παρατήρησαν αυτήν την τεχνική ήδη από τον Μάρτιο του 2024 από το TA571 και στις αρχές Απριλίου από το σύμπλεγμα ClearFake, καθώς και στις αρχές Ιουνίου και από τα δύο συμπλέγματα.

Πώς να αποφύγετε αυτό το κακόβουλο λογισμικό κλοπής;

Αν και ακούγεται συντριπτικό, είναι εύκολο να εντοπιστεί. Για να αποφύγετε αυτήν την απάτη, το κύριο χαρακτηριστικό της απάτης είναι ότι θα δείτε ένα αναδυόμενο κείμενο που υποδηλώνει ότι παρουσιάστηκε σφάλμα κατά την προσπάθεια ανοίγματος του εγγράφου ή της ιστοσελίδας. Το αναδυόμενο παράθυρο παρέχει οδηγίες για την αντιγραφή και επικόλληση κειμένου είτε σε ένα τερματικό PowerShell είτε στο παράθυρο διαλόγου Εκτέλεση των Windows.

Επιφανειακά, θα μπορούσε κανείς να υποθέσει ότι αυτό θα ήταν εύκολο να αναγνωριστεί ως ασυνήθιστο και να αγνοηθεί. Αλλά η Proofpoint προειδοποιεί ότι «αν και η αλυσίδα επίθεσης απαιτεί σημαντική αλληλεπίδραση με τον χρήστη για να είναι επιτυχής, η κοινωνική μηχανική είναι αρκετά έξυπνη για να παρουσιάσει σε κάποιον αυτό που μοιάζει με πραγματικό πρόβλημα και λύση ταυτόχρονα, κάτι που μπορεί να ωθήσει έναν χρήστη να αναλάβει δράση χωρίς να λαμβάνει υπόψη τον κίνδυνο. ”

Το επίκεντρο του μεγάλου μέρους του εγκατεστημένου κακόβουλου λογισμικού φαίνεται να είναι η κλοπή διαπιστευτηρίων καθώς και η ενεργοποίηση δόλιων συναλλαγών κρυπτογράφησης, στις οποίες ένας χρήστης έχει χρησιμοποιήσει τη συσκευή για να πραγματοποιήσει τις δικές του μεταφορές κρυπτογράφησης.

Οι ειδικοί προειδοποιούν ότι αυτή η αλυσίδα επίθεσης απαιτεί σημαντική αλληλεπίδραση με τον χρήστη για να είναι επιτυχής.