Badacze bezpieczeństwa wykryli nowe złośliwe oprogramowanie, które podejrzewa się o szpiegostwo. Hakerzy infekują urządzenia, podszywając się pod agencje rządowe, zazwyczaj agencje podatkowe, takie jak Internal Revenue Service (IRS). Gdy złośliwe oprogramowanie znajdzie się na komputerze, może zbierać informacje wywiadowcze (zbierając dane osobowe, hasła i inne), pobierać dodatkowe złośliwe oprogramowanie i przesyłać dane na serwer hakera. Robi to wszystko, korzystając z Arkuszy Google, aby uniknąć podejrzeń i przechowywać dane.

OTRZYMAJ ALERTY BEZPIECZEŃSTWA, WSKAZÓWKI EKSPERTÓW – ZAREJESTRUJ SIĘ NA NEWSLETTER KURTA – RAPORT CYBERGUY TUTAJ

Nowe ataki złośliwego oprogramowania o nazwie Harry Potter ujawniają globalną kampanię szpiegowską

Ilustracja przedstawiająca komputer zhakowany przez złośliwe oprogramowanie (Kurt „CyberGuy” Knutsson)

Wszystko zaczyna się od fałszywego e-maila

Hakerzy stojący za złośliwym oprogramowaniem, zwanym „Voldemort”, sprytnie je zaprojektowali, aby uniknąć złapania. Podobnie jak imię Voldemort oznaczało kłopoty w serii Harry Potter J.K. Rowling, powoduje ono również problemy w świecie cyberbezpieczeństwa.

Cyberatak rozpoczyna się, gdy otrzymasz wiadomość e-mail, która wygląda, jakby pochodziła z rządowej agencji podatkowej. Według Dowódhakerzy stojący za tą kampanią podszywali się pod agencje podatkowe w różnych krajach, w tym w USA (IRS), Wielkiej Brytanii (HM Revenue & Customs), Francji (Direction Générale des Finances Publiques), Niemczech (Bundeszentralamt für Steuern), Włoszech (Agenzia delle Entrate) oraz, od 19 sierpnia, w Indiach (Income Tax Department) i Japonii (National Tax Agency). Każda wiadomość e-mail była dostosowywana i napisana w języku podszywającego się organu podatkowego.

Analitycy Proofpoint odkryli, że hakerzy dostosowywali swoje wiadomości phishingowe do kraju zamieszkania ofiary na podstawie publicznie dostępnych informacji, a nie lokalizacji organizacji lub języka sugerowanego przez adres e-mail. Na przykład niektórzy odbiorcy w europejskiej organizacji otrzymywali wiadomości e-mail podszywające się pod IRS, ponieważ w rejestrach publicznych byli powiązani ze Stanami Zjednoczonymi. W niektórych przypadkach hakerzy mylili kraj zamieszkania, gdy ofiara miała takie samo imię i nazwisko jak bardziej znana osoba.

E-mail próbuje również naśladować e-mail agencji rządowej. Na przykład, ludzie z USA otrzymali fałszywe e-maile z użyciem „no_reply_irs(.)gov@amecaindustrial(.)com”.

Nowe ataki złośliwego oprogramowania o nazwie Harry Potter ujawniają globalną kampanię szpiegowską

E-mail, który próbuje imitować e-mail agencji rządowej (dowód) (Kurt „CyberGuy” Knutsson)

Atak sprytnie przeprowadzany jest na Twoim urządzeniu

W fałszywym e-mailu hakerzy podszywający się pod rząd ostrzegają Cię o zmianach stawek podatkowych i systemów podatkowych i proszą o kliknięcie linku, aby przeczytać szczegółowy przewodnik. Kliknięcie linku przenosi Cię na stronę docelową, która wykorzystuje adresy URL Google AMP Cache, aby przekierować Cię na stronę z przyciskiem „Kliknij, aby wyświetlić dokument”.

Po kliknięciu przycisku hakerzy sprawdzają, czy używasz urządzenia z systemem Windows. Jeśli tak, zostaniesz przekierowany na inną stronę. Kiedy wchodzisz w interakcję z tą stroną, uruchamia ona pobieranie, które wygląda jak plik PDF w folderze pobierania na Twoim komputerze, ale w rzeczywistości jest to plik LNK lub ZIP hostowany na zewnętrznym serwerze.

Gdy otwierasz plik, uruchamia on skrypt Pythona z innego serwera bez faktycznego pobierania skryptu na twój komputer. Ten skrypt zbiera informacje systemowe, aby cię profilować, podczas gdy fałszywy plik PDF otwiera się, aby ukryć złośliwą aktywność.

Nowe ataki złośliwego oprogramowania o nazwie Harry Potter ujawniają globalną kampanię szpiegowską

Pobierz plik wyglądający jak PDF w folderze pobierania na Twoim komputerze (Proofpoint) (Kurt „CyberGuy” Knutsson)

Voldemort używa Arkuszy Google do przechowywania danych

Gdy złośliwe oprogramowanie skutecznie zainfekuje Twoje urządzenie z systemem Windows, może ono:

  • Świst:Sprawdź, czy nadal jest połączony ze swoim serwerem sterującym
  • Reżyser:Pobierz listę plików i folderów w swoim systemie
  • Pobierać:Wyślij pliki ze swojego systemu do serwera sterującego
  • Wgrywać: Umieść pliki z serwera sterującego na swoim systemie
  • Dyrektor wykonawczy:Uruchom określone polecenia lub programy w swoim systemie
  • Kopia: Kopiuj pliki lub foldery w swoim systemie
  • Przenosić: Przenoszenie plików lub folderów w systemie
  • Spać: Wstrzymaj jego aktywność na określony czas
  • Wyjście: Zatrzymaj działanie w swoim systemie

Malware używa Google Sheets jako swojego centrum dowodzenia, gdzie otrzymuje nowe instrukcje i przechowuje skradzione dane. Każde zainfekowane urządzenie wysyła swoje dane do określonych komórek w Google Sheets, oznaczonych unikalnymi identyfikatorami, aby wszystko było uporządkowane.

Voldemort komunikuje się z Arkuszami Google za pośrednictwem API Google, używając osadzonego identyfikatora klienta, sekretu i tokena odświeżania przechowywanych w zaszyfrowanych ustawieniach. Ta metoda daje złośliwemu oprogramowaniu niezawodny sposób komunikacji bez wzbudzania podejrzeń, ponieważ Arkusze Google są szeroko stosowane w firmach, co utrudnia narzędziom bezpieczeństwa blokowanie go.

JAK ROZPOZNAĆ I UNIKNĄĆ STANU OFIARY OSZUSTW ZWIĄZANYCH Z WYNAJMEM WAKACYJNYM

4 sposoby na ochronę przed atakami złośliwego oprogramowania

Hakerzy wypuszczają coraz bardziej wyrafinowane złośliwe oprogramowanie, ale to nie znaczy, że jesteś bezbronny. Poniżej znajdziesz kilka wskazówek, które pomogą Ci chronić się przed takimi atakami.

1) Uważnie czytaj poufne wiadomości e-mail: Najlepszym sposobem na wykrycie fałszywych wiadomości e-mail, które dostarczają złośliwe oprogramowanie, jest ich dokładne sprawdzenie. Chociaż hakerzy mogą być biegli w technologii, ich umiejętności językowe często nie są doskonałe. Na przykład na powyższych zrzutach ekranu można zobaczyć literówki, takie jak „Taxplayers” zamiast „Taxpayers”. Agencje rządowe zazwyczaj nie popełniają tego rodzaju błędów.

2) Sprawdź domenę e-mail: Sprawdź, czy domena e-mail jest zgodna z organizacją, którą rzekomo reprezentuje. Na przykład e-mail od IRS powinien pochodzić z adresu kończącego się na „@irs.gov”. Uważaj na drobne błędy ortograficzne lub zmiany w domenie.

3) Zainwestuj w usługi usuwania danych: Hakerzy atakują Cię na podstawie Twoich publicznie dostępnych informacji. Może to być cokolwiek, od wycieku informacji, przez naruszenie danych, po informacje, które podałeś sklepowi e-commerce. Sprawdź moje najlepsze typy usług usuwania danych tutaj.

4) Posiadaj silne oprogramowanie antywirusowe: Jeśli masz zainstalowane na swoim urządzeniu silne oprogramowanie antywirusowe, może ono chronić Cię, gdy otrzymasz tego typu wiadomości e-mail oszukańcze lub przypadkowo otworzysz załącznik lub klikniesz łącze. Najlepszym sposobem na ochronę przed klikaniem złośliwych łączy, które instalują złośliwe oprogramowanie, mogące uzyskać dostęp do Twoich prywatnych informacji, jest zainstalowanie ochrony antywirusowej na wszystkich urządzeniach. Może ona również ostrzegać Cię o wiadomościach e-mail phishingowych lub oszustwach ransomware. Poznaj moje typy na najlepszą ochronę antywirusową na rok 2024 dla urządzeń z systemem Windows, Mac, Android i iOS.

SUBSKRYBUJ KANAŁ KURTA NA YOUTUBE, ABY OTRZYMAĆ SZYBKIE WSKAZÓWKI WIDEO DOTYCZĄCE DZIAŁANIA WSZYSTKICH TWOICH URZĄDZEŃ TECHNICZNYCH

Najważniejsze wnioski Kurta

Chociaż badacze nie mogą tego stwierdzić na pewno, wiele technik stosowanych przez złośliwe oprogramowanie jest podobnych do tych stosowanych przez hakerów podejrzewanych o szpiegostwo. Nawet jeśli ta ocena okaże się nieprawidłowa, skala i wyrafinowanie ataku są niepokojące. Każdy bez wiedzy technicznej może łatwo paść ofiarą i stracić dane osobowe i pieniądze. Ten atak jest skierowany konkretnie na użytkowników systemu Windows, co również rodzi pytania dotyczące ram bezpieczeństwa firmy Microsoft.

Jakie środki Twoim zdaniem organizacje powinny wdrożyć, aby lepiej chronić jednostki przed atakami malware? Daj nam znać, pisząc do nas na adres Cyberguy.com/Kontakt.

Aby uzyskać więcej wskazówek technicznych i alertów bezpieczeństwa, zapisz się na mój bezpłatny biuletyn CyberGuy Report, przechodząc do Cyberguy.com/Biuletyn.

Zadaj Kurtowi pytanie lub daj nam znać, jakie historie chciałbyś, abyśmy omówili.

Obserwuj Kurta na jego kanałach społecznościowych:

Odpowiedzi na najczęściej zadawane pytania CyberGuy’a:

Nowość od Kurta:

Copyright 2024 CyberGuy.com. Wszelkie prawa zastrzeżone.



Source link