Użytkownicy pirackich streamów ofiarami malware

Cyberprzestępcy cały czas poszukują nowych metod dotarcia do swoich ofiar w celu zdobycia ich wrażliwych danych lub środków pieniężnych. Popularnym rozwiązaniem jest wykorzystywanie mechanizmów reklamowych. Jak opisywaliśmy na łamach CyberDefence24, to problem zarówno w przypadku wyszukiwarek, jak również portali społecznościowych.

Złośliwe reklamy

Na celowniku cyberprzestępców znalazły się w ostatnich miesiącach pirackie serwisy streamingowe. O ile zamieszczane na nich treści reklamowe często były wątpliwe, tak w tym przypadku mowa o dystrybucji złośliwego oprogramowania na komputery osób chcących za darmo obejrzeć film albo serial.

Jak podali badacze z Microsoft Threat Intelligence, operacja polegała na zamieszczeniu reklamy w ramce IFrame filmu umieszczonego na stronie. Powodowało to, że przy próbie uruchomienia materiału, w przeglądarce po kilku przekierowaniach otwierała się przygotowana przez sprawców strona zachęcająca do pobrania konkretnego programu. Był hostowany na GitHubie.

Wieloetapowa infekcja

Pobranie i uruchomienie malware powodowało rozpoczęcie reakcji łańcuchowej założonej przez cyberprzestępców. W pierwszej kolejności pobierane były infostealery, takie jak Lumma czy Doenerium, a także oprogramowanie remote monitoring and management (RMM) Net Support.

Następnym krokiem było zdobycie informacji o zainfekowanym sprzęcie, jego podzespołach, pamięci czy rozdzielności ekranu. Informacje te, zakodowane w Base64, przekazywano na zewnętrzny adres znajdujący pod kontrolą cyberprzestępców. W końcu, pobrane wcześniej pliki wykonywalne uruchamia malware i dokonują sprawdzenia uruchomionych procesów pod kątem antywirusów, a także przeglądarki czy portfeli kryptowalut. Według serwisu Cybernews, możliwe było również zdalne kontrolowanie zainfekowanego komputera.

Za pomocą skryptów możliwa jest kradzież danych logowania i wykonywanie zrzutów ekranu. Wszystko odbywa się przy stałym połączeniu z serwerem atakującego, gdzie trafiają wszystkie informacje. Do autostartu zostaje również dodany skrót, który zapewnia działanie złośliwego oprogramowania przy każdorazowym uruchomieniu systemu.

Co warto zrobić?

Jak się bronić przed tym zagrożeniem? Badacze cyberbezpieczeństwa z Microsoftu zalecają odpowiednie skonfigurowanie Defendera for Endpoint czy stosowanie uwierzytelnienia wieloskładnikowego bądź na poziomie sieci.

Pozostają również bardziej oczywiste rozwiązania: instalacja dodatku lub programu typu adblock, co pomoże również w przypadku podejrzanych reklam w wyszukiwarce, a także zakończenie korzystania z pirackich serwisów streamingowych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].