Reklama

Cyberbezpieczeństwo

Malware zamiast gry z postacią anime. Nowa kampania cyberprzestępców

Nieuważni gracze mogą przekazać kontrolę nad swoim systemem cyberprzestępcom. Eksperci wykryli nową kampanię, która podszywa się pod aplikacje związane z grami komputerowymi.
Nieuważni gracze mogą przekazać kontrolę nad swoim systemem cyberprzestępcom. Eksperci wykryli nową kampanię, która podszywa się pod aplikacje związane z grami komputerowymi.
Autor. Sean Do/Unsplash

Nieuważni gracze stali się nowym celem aktorów zagrożeń. Tym razem, chcąc pobrać narzędzie do instalacji lub aktualizacji gry komputerowej, mogą nieświadomie zainstalować na swoim sprzęcie malware, umożliwiając tym samym kradzież danych hakerowi.

Wielokrotnie w sieci pojawiały się apele, aby pobierać oprogramowanie wyłącznie z zaufanych źródeł. Dotyczy to bezwzględnie każdego typu programu – jak opisywaliśmy, cyberprzestępcy upodobali sobie chociażby system reklam w wyszukiwarce Google, aby podstawione przez nich strony ze złośliwą zawartością wyświetlały się powyżej prawdziwych.

Czytaj też

Reklama

Atak z grami w tle, ale celem sektor edukacji

Eksperci z FortiGuard Labs zidentyfikowali kampanię, w której aktorzy wykorzystują malware Winos4.0 do przejmowania kontroli nad systemami operacyjnymi. Według organizacji, jest to przebudowany Gh0strat.

Atakujący zdecydowali się na zamaskowanie złośliwego programu jako narzędzia do gier wywodzących się z Japonii. Jest to o tyle ciekawe, że zawartość plików .dll – a konkretnie ich opisy i nazwy - wskazywałaby na wycelowanie ataku w sektor edukacji.

Czytaj też

Reklama

Pliki zaszyfrowane w fałszywych obrazkach

Nietrudno się domyślić, że uruchomienie aplikacji – czy to rzekomo mającej na celu instalację, bądź aktualizację gry – kończy się ściągnięciem fałszywego pliku .bmp, w którym zakodowany jest .dll. Odpowiada on za pobranie trzech kolejnych fałszywych .bmp, zawierających tym razem po jednym pliku .tmp.

Wypakowywane są również kolejne złośliwe elementy, obejmujące m.in. plik wykonywalny .exe czy kilka sztuk .dll. W końcu, za pomocą shellcode otrzymanego z jednego z plików, zostają pobrane i uruchomione moduły Winos4.0. Umożliwiają one m.in. zbieranie informacji o systemie i ściąganie z niego plików, monitoring schowka lub sprawdzenie obecności antywirusa oraz portfela kryptowalut.

Czytaj też

Reklama

Wystarczą zaufane źródła

Zdaniem FortiGuard Labs, Winos4.0 jest podobny do Cobalt Strike’a oraz Slivera. Cały atak wykorzystuje szyfrowanie danych oraz komunikację C2.

Zalecenie dla użytkowników (i graczy), którzy nie chcą stać się celem ataku jest proste: aplikacje należy pobierać wyłącznie z zaufanych i zweryfikowanych źródeł - niezależnie od tego, czy chodzi o program biurowy, czy o aplikację z postaciami podobnymi do tych znanych z anime i mangi.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama