Jeigu turite išmanųjį telefoną – būtina reaguoti tučtuojau: ši situacija jau dabar įvardijama kaip katastrofinė, veiksmų būtina imtis dabar

Išmaniųjų telefonų ir kompiuterių naudotojai nuolat susiduria su įvairiausiais pavojais. Dabar pranešama ir apie naujas rizikas. Vykdant kenkėjiškų programų kampaniją, pavadintą „ClickFix“, kibernetiniai nusikaltėliai naudoja suklastotus „Google Meet“ tinklalapius, kad pristatytų „Windows“ ir „MacOS“ sistemoms skirtus informacijos grobikus.

„Ši taktika apima netikrų klaidų pranešimų rodymą interneto naršyklėse, siekiant apgauti naudotojus, kad jie nukopijuotų ir įvykdytų tam tikrą kenkėjišką „PowerShell“ kodą ir galiausiai užkrėstų savo sistemas.“, – sakoma Prancūzijos kibernetinio saugumo bendrovės pranešime.

Pastaraisiais mėnesiais plačiai pranešama apie „ClickFix“, dar žinomos kaip „ClearFake“ ir „OneDrive Pastejacking“, kampanijos variantus, kai grėsmių sukėlėjai naudoja skirtingus viliojimo būdus, kad nukreiptų naudotojus į fiktyvius puslapius, kuriuose siekiama įdiegti kenkėjišką programinę įrangą, raginant svetainės lankytojus paleisti užkoduotą „PowerShell“ kodą, kad būtų išspręsta tariama turinio rodymo interneto naršyklėje problema.

Yra žinoma, kad šie puslapiai apsimeta populiariomis interneto paslaugomis, įskaitant „Facebook“, „Google Chrome“, „PDFSimpli“ ir „reCAPTCHA“, o dabar ir „Google Meet“, taip pat galimai „Zoom“.

• meet.google.us-join[.]com
• meet.googie.com-join[.]us
• meet.google.com-join[.]us
• meet.google.web-join[.]com
• meet.google.webjoining[.]com
• meet.google.cdm-join[.]us
• meet.google.us07host[.]com
• googiedrivers[.]com
• us01web-zoom[.]us
• us002webzoom[.]us
• web05-zoom[.]us
• webroom-zoom[.]us

„Windows“ sistemoje atakos grandinė baigiasi „StealC“ ir „Rhadamanthys“ vagių įdiegimu, o „MacOS“ naudotojams pateikiamas užminuotas disko atvaizdo failas „Launcher_v1.94.dmg", kuriame paleidžiamas kitas vagis, žinomas kaip „Atomic“. Saugumo specialistai neatmeta galimybės, jog šis kenkėjas gali būti panaudotas ir prieš išmaniųjų telefonų turėtojus.

Ši nauja socialinės inžinerijos taktika išsiskiria tuo, kad gudriai išvengiama saugumo priemonių aptikimo, nes naudotojai rankiniu būdu tiesiogiai terminale paleidžia kenkėjišką „PowerShell“ komandą, o ne automatiškai ją iškviečia jų atsisiųstas ir įvykdytas naudingasis krūvis.

„Google Meet“ apsimetančias kenkėjiškas programas priskyrė dviem prekeivių grupėms, būtent „Slavic Nation Empire“ ir „Scamquerteo“, kurios yra atitinkamai „markopolo“ ir „CryptoLove“ pogrupiai.

„Abi prekeivių grupuotės naudoja tą patį „ClickFix“ šabloną, kuris apsimeta „Google Meet“. Šis atradimas leidžia manyti, kad šios komandos dalijasi medžiaga, dar vadinama nusileidimo projektu, taip pat infrastruktūra“, – sakė kibernetinis saugumo atstovas.

Tai savo ruožtu iškėlė galimybę, kad abi grėsmių grupės naudojasi ta pačia, kol kas nežinoma kibernetinių nusikaltimų paslauga, o jų infrastruktūrą tikriausiai valdo trečioji šalis. Tai paaiškėjo pasirodžius kenkėjiškų programų kampanijoms, platinančioms atvirojo kodo vagį „ThunderKitty“, kuris sutampa su „Skuld“ ir „Kematian Stealer“, taip pat naujoms vagių šeimoms, pavadintoms „Divulge“, „DedSec“, „Duck“, „Vilsa“ ir „Yunit“.

„Atvirojo kodo informacijos vagių iškilimas yra reikšmingas pokytis kibernetinių grėsmių pasaulyje. Mažindami patekimo į rinką barjerą ir skatindami greitas inovacijas, šie įrankiai gali paskatinti naują kompiuterių užkrėtimo bangą, sukelti iššūkių kibernetinio saugumo specialistams ir padidinti bendrą riziką įmonėms ir asmenims.“, – dar 2024 metų liepą pažymėjo kibernetinio saugumo bendrovė specialistas.

Norint išvengti galimų rizikų – rekomenduojame vengti apsilankymų nežinomuose internetiniuose puslapiuose. Jeigu to išvengti nepavyksta – pasistenkite nespausti neaiškios kilmės pranešimų, kurie yra rodomi jūsų internetinėje naršyklėje.