Οι χάκερ γίνονται όλο και πιο δημιουργικοί και πιο εξελιγμένοι για να αποφεύγουν να πιαστούν στα δίχτυα των προστατευτικών μέτρων ασφαλείας που εφαρμόζει η Google στα προϊόντα και τις υπηρεσίες της.
Η πρόσφατη επίθεση με κακόβουλο λογισμικό τύπου infostealer
Όπως αναφέρει ο Davey Winder για το Forbes, ένα πρόσφατο παράδειγμα είναι η πιο πρόσφατη τακτική κοινωνικής μηχανικής που αναφέρθηκε από την ομάδα ανίχνευσης απειλών και έρευνας Sekoia: παρακάμπτουν τις προστασίες του προγράμματος περιήγησης ιστού, όπως η Ασφαλής περιήγηση Google, εξαπατούν τα θύματά τους οδηγώντας τους να ανοίξουν ψεύτικες σελίδες βιντεοδιάσκεψης στο Google Meet που εγκαθιστούν κακόβουλο λογισμικό infostealer.
Η απάτη, που ονομάζεται ClickFix, στοχεύει επί του παρόντος περιουσιακά στοιχεία που αφορούν σε κρυπτονομίσματα και χρήστες που χρησιμοποιούν αποκεντρωμένες χρηματοοικονομικές πλατφόρμες για να διαχειρίζονται τα χρήματά τους.
Ωστόσο, οι αναλυτές πληροφοριών της απειλής Sekoia έχουν προειδοποιήσει ότι «παρόμοιες τεχνικές κοινωνικής μηχανικής θα μπορούσαν να χρησιμοποιηθούν σε άλλες εκστρατείες διανομής κακόβουλου λογισμικού».
The Phantom Meet και η εκστρατεία ClickFix
Σε μια πρόσφατα δημοσιευμένη έκθεση (The Phantom Meet), η οποία περιγράφει λεπτομερώς την τεχνολογία και τις τακτικές που χρησιμοποιούν οι χάκερ μέσω ψεύτικων σελίδων βιντεοδιάσκεψης Google Meet για τη διανομή κακόβουλου λογισμικού infostealer, μια ομάδα επιθέσεων γνωστή ως ClickFix, οι αναλυτές έκαναν μια χρονολογική επισκόπηση της εκστρατείας για να προειδοποιήσουν τους χρήστες Mac και Windows για την συνεχιζόμενη απειλή.
Αντί να αναπτύξουν την εκτέλεση διανομής κακόβουλου λογισμικού μέσω επίσκεψης σε μια ιστοσελίδα από το πρόγραμμα περιήγησής σας, η εκστρατεία ClickFix, όπως αναφέρουν οι ερευνητές, βασίζεται στο να κάνει το θύμα να κατεβάσει και να εκτελέσει κακόβουλο λογισμικό απευθείας. Δεν χρειάζεται να κατεβάσεις κάτι από το διαδίκτυο ούτε να ανοίξεις κάποιο αρχείο μόνος σου, αρκούν κλασικές τεχνικές εξαπάτησης για να παρακάμψουν τους μηχανισμούς ασφαλείας του προγράμματος περιήγησης.
Η εκστρατεία ClickFix, που δεν πρέπει να συγχέεται με νόμιμες εταιρείες και εφαρμογές με το ίδιο όνομα, κάτι που δυστυχώς προκαλεί σύγχυση, εκτελείται από τον Σεπτέμβριο του 2024.
Έχει ήδη υιοθετηθεί, όπως είπαν οι αναλυτές, για την «ευρεία διανομή κακόβουλου λογισμικού». Λειτουργεί με ένα δόλωμα που, σύμφωνα με την προειδοποίηση, «θα μπορούσε να είναι ιδιαίτερα καταστροφικό σε καμπάνιες που στοχεύουν οργανισμούς που χρησιμοποιούν το Google Workspace, ειδικά το Google Meet».
Ενώ οι προηγούμενες εκστρατείες ClickFox φέτος χρησιμοποιούσαν κυρίως αρχεία HTML μεταμφιεσμένα σε έγγραφα του Microsoft Word σε μηνύματα ηλεκτρονικού ταχυδρομείου, η τελευταία είναι η ανάπτυξη ψεύτικων σελίδων βιντεοδιάσκεψης του Google Meet για τη διανομή infostealers και τη στόχευση συστημάτων Windows και macOS.
Η εκστρατεία Power ClickFix Stealer Drive-By Downloads
Μια επίθεση drive-by download βασίζεται στην ικανότητα να αλλοιωθεί μια εφαρμογή, χωρίς να είναι ορατό αυτό στο χρήστη, έτσι ώστε να κατεβάσει κακόβουλο λογισμικό.
Η χρήση του ClickFix σε πολλές εκστρατείες διανομής κακόβουλου λογισμικού τις τελευταίες εβδομάδες είναι, σύμφωνα με την έκθεση της Sekoia, «σύμφωνη με την αυξανόμενη, συνεχή τάση διανομής κακόβουλου λογισμικού μέσω της τεχνικής drive-by download».
Αυτό, πάνω απ’ όλα, χρησιμοποιείται για να αποφευχθούν οι προστασίες σάρωσης ασφαλείας και τα χαρακτηριστικά ασφαλείας του προγράμματος περιήγησης, ανέφεραν οι ερευνητές.
Οι αναλυτές της Sekoia έχουν συνδέσει αυτό το cluster ClickFix που μιμείται το Google Meet με δύο ομάδες κυβερνοεγκληματιών: το Slavic Nation Empire και το Scamquerteo. Και οι δύο είναι γνωστό ότι είναι υποομάδες κυβερνοεγκληματιών που ειδικεύονται στις απάτες με κρυπτονομίσματα.
Χρησιμοποιώντας φράσεις όπως “πατήστε τον συνδυασμό πλήκτρων” ή “CTRL+V” εμφανίζονται μηνύματα σφάλματος. Κι όμως, τέτοιες τακτικές εξακολουθούν να χρησιμοποιούνται και προφανώς, εξακολουθούν να πετυχαίνουν τον στόχο τους.
Οι χάκερ συχνά προσποιούνταν προβλήματα με το μικρόφωνο. Αυτός ο τύπος απάτης μπορεί να ξεγελάσει τα θύματα επειδή τα σφάλματα που εμφανίζονται σε πλαστές σελίδες Google Meet με αξιόπιστα ονόματα τομέα που μιμούνται τη δομή των διευθύνσεων URL του Google Meet.
Ένα κλικ στο κουμπί «Δοκιμάστε τη διόρθωση» θα έχει ως αποτέλεσμα την έναρξη της λήψης κακόβουλου λογισμικού.
VIA: FoxReport.gr
