Reklama

Cyberbezpieczeństwo

Pulpity zdalne na celowniku hakerów. Rozprzestrzeniają ransomware

Microsoft poinformował o wykorzystywaniu aplikacji Quick Assist przez cyberprzestępców do rozprzestrzeniania ransomware. Jak konkretnie wygląda ich metoda?
Microsoft poinformował o wykorzystywaniu aplikacji Quick Assist przez cyberprzestępców do rozprzestrzeniania ransomware. Jak konkretnie wygląda ich metoda?
Autor. Clint Patterson/Unsplash

Podmioty oraz użytkownicy korzystający na swoim sprzęcie z programu Quick Assist powinni uważać, komu przyznają dostęp do komputera podczas połączenia. Microsoft ostrzegł bowiem, że aplikacja ta stała się narzędziem dla cyberprzestępców do rozprzestrzeniania ransomware Black Basta.

Oszustwa przeprowadzane za pomocą aplikacji pulpitu zdalnego mogą się obecnie wydawać zmarginalizowanymi. Okazuje się jednak, że cyberprzestępcy postanowili wykorzystać tego typu programy na innym kierunku działań, dzięki czemu mogą wyrządzić szkody podobnych, jeżeli nie większych rozmiarów.

Czytaj też

Reklama

Quick Assist na celowniku hakerów

Tym razem w centrum uwagi znalazła się aplikacja Quick Assist. Jak podaje serwis The RegisterMicrosoft dołącza ją do każdej kopii systemu operacyjnego Windows 11; jest ona również dostępna na inne wersje „okienek”, jak również i na macOS. Wbrew pozorom, nie zainteresowali się nią oszuści – tylko hakerzy.

Wspomnianego programu używają najczęściej pracownicy do połączenia się ze specjalistami IT. I to właśnie tę cechę postanowili wykorzystać atakujący, którzy według giganta z Redmond należą do grupy Storm-1811.

Czytaj też

Reklama

Metoda podobna do oszustwa

Typowy atak przebiega prawie identycznie jak w przypadku typowego oszustwa wykorzystującego pulpit zdalny. Podający się za pomoc techniczną haker kontaktuje się z potencjalną ofiarą w celu naprawienia pewnego problemu, którzy rzekomo jest obecny w ich komputerze. Może to być np. zalanie skrzynki e-mail przez spam.

Haker przekazuje ofierze kod bezpieczeństwa, który ta musi wprowadzić do Quick Assista w celu udostępnienia ekranu. Gdy to nastąpi, atakujący może poprosić o przejęcie kontroli nad urządzeniem, co ma miejsce tylko za zgodą ofiary.

Czytaj też

Reklama

Ostrożność albo deinstalacja programu. Będą ostrzeżenia

Od tego momentu postępowanie cyberprzestępców jest już proste do przewidzenia. Na sprzęcie ofiary instalują oni programyremote monitoring and management, takie jak ScreenConnect czy Cobalt Strike, oraz inne złośliwe oprogramowanie, jak Qakbot. W końcu, wykorzystując połączenie komputera ofiary z siecią danego podmiotu, rozprzestrzeniają w niej ransomware Black Basta.

Co zaleca Microsoft w obecnej sytuacji? Oprócz oczywistej ostrożności, przedsiębiorstwa mogą zablokować, bądź w ogóle odinstalować Quick Assista. W samej aplikacji niebawem mają pojawić się ostrzeżenia przed potencjalnymi atakami.

/PM

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: .

Reklama
Reklama

Komentarze