Cyberbezpieczeństwo
Zweryfikowana aplikacja do wideokonferencji? Nie, to kolejne malware
W sieci pojawiła się kolejna kampania malware wymierzona w osoby związane ze światem kryptowalut. Tym razem jednak, atakujący postanowili nie ograniczać się do dystrybucji samego oprogramowania.
Tematy związane z atakami malware często pojawiają się na łamach CyberDefence24. Ostatnie tygodnie przyniosły m.in. ataki z oprogramowaniem sterowanym za pomocą emotikon; inną metodą było również wykorzystanie wyszukiwarki Eksploratora Windows, aby nakłonić ofiarę do uruchomienia złośliwego pliku.
Czytaj też
Nie takie „zwykłe" malware
W najnowszej kampanii, ujawnionej przez Insikt Group, atakujący zdecydowali się na zdecydowanie więcej niż wysyłka oprogramowania jako „niewinny” dokument. Jak opisuje serwis Infosecurity Magazine, skala przygotowań cyberprzestępców może zaskakiwać.
„Sercem” całej operacji jest aplikacja do wideokonferencji o nazwie Vortax. Nad innymi aplikacjami tego typu – takimi jak np. Microsoft Teams – reklamuje się przewagą w postaci „MeetingGPT”, czyli AI generujące m.in. podsumowania spotkań czy sugerujące komentarze w aplikacji.
Czytaj też
Zweryfikowany infostealer
Nietrudno się domyślić, że aplikacja w rzeczywistości jest fałszywa i służy do rozpowszechniania szkodliwego oprogramowania – w tym przypadku są to infostealery Stealc, Rhadamanthys oraz Atomic macOS Stealer (który jest rzadki ze względu na kompatybilność jedynie z produktami Apple). Atakujący postanowili jednak zrobić wszystko, aby pozbawić potencjalną ofiarę jakichkolwiek wątpliwości w kwestii prawdziwości oprogramowania.
I tak, Vortax posiada zweryfikowane konto na X (dawnym Twitterze), przy czym nie jest to weryfikacja za pomocą Blue – „ptaszek” ma kolor złoty, przyznawany wyłącznie organizacjom. „Program” posiada również blog na portalu Medium, na którym znajdują się 22 artykuły. Zdaniem badaczy, wszystkie zostały wygenerowane przez sztuczną inteligencję.
Czytaj też
Jak się bronić przed Vortaxem?
Zdaniem Insikt Group, za kampanią związaną z Vortaxem oraz inną operacją wycelowaną w projekty web3 stoi niejaki „markopolo”. Podejrzewa się, że pozyskane dane są przez niego sprzedawane w darknecie, jednak eksperci nie mają na to dowodów.
Jak użytkownicy oraz administatorzy mogą się obronić przed zagrożeniem, zwłaszcza w przypadku AMOS? Przede wszystkim zaleca się utrzymywanie możliwie jak najnowszej wersji systemów wykrywających infostealery; konieczna jest również edukacja pracowników w kwesti zagrożeń, jakie stanowi oprogramowanie z nieznanego źródła – a tak jest w przypadku Vortaxa, i to pomimo faktu, że jest „zweryfikowany”.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: