Nová zpráva Threat Insights Report ukazuje, že útočníci stále více zneužívají „klikací únavu“ uživatelů – zejména ve spěchu a pod časovým tlakem, například při hledání výhodných nabídek na dovolenou.
Analýza skutečných kybernetických útoků pomáhá organizacím držet krok s nejnovějšími technikami, které kyberzločinci používají k obejití detekce a k napadení počítačů v neustále se měnícím prostředí kyberkriminality.
Zpráva popisuje vyšetřování podezřelých domén – navazující na dřívější kampaň s CAPTCHA tématikou – při kterém byly odhaleny falešné weby pro rezervaci ubytování. Tyto podvržené stránky napodobují značku booking.com, avšak s rozmazaným obsahem a podvodným cookie bannerem, který má uživatele přimět ke kliknutí na „Přijmout“ – což spustí stažení škodlivého JavaScriptu.
Chcete dostávat do mailu týdenní přehled článků z CIOtrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Po otevření tohoto souboru se na zařízení nainstaluje XWorm, přístupový trojan (RAT), který útočníkům umožňuje převzít kontrolu nad zařízením, včetně přístupu k souborům, webkameře a mikrofonu. Navíc jim dává možnost nasazovat další malware nebo vypínat bezpečnostní nástroje.
Kampaň byla poprvé odhalena v 1. čtvrtletí letošního roku, kdy vrcholí období rezervací letních dovolených – tedy v době, kdy jsou uživatelé zvláště náchylní k cestovatelským lákadlům. Aktivní však zůstává i nadále a stále jsou registrovány a využívány další domény pro šíření podobných falešných webů.
Patrick Schläpfer, hlavní výzkumník hrozeb v HP Security Lab, to komentuje: „Od zavedení předpisů na ochranu soukromí, jako je GDPR, jsou cookie okna natolik běžná, že je většina uživatelů odklikne téměř bez přemýšlení. Napodobením vzhledu webu pro rezervaci cest v momentu, kdy uživatelé spěchají s plánováním dovolené, útočníci nepotřebují žádné sofistikované triky – stačí dobře načasovaná výzva a automatická reakce uživatele.“
Na základě dat z milionů koncových zařízení se zabezpečením HP Wolf Security výzkumníci HP také zjistili:
- Skryté podvodné soubory: Útočníci využívali soubory Windows Library k ukrytí malwaru v běžně vypadajících složkách, například „Dokumenty“ nebo „Stažené“. V Průzkumníku Windows se obětem zobrazilo pop-up okno se vzdálenou složkou WebDAV a zástupcem ve formátu PDF, jehož otevření spustilo malware.
- Past v PowerPointu: Škodlivý soubor PowerPoint otevřený v režimu celé obrazovky napodoboval běžné otevření složky. Kliknutí uživatele na „zavření“ spustilo stažení archivu obsahujícího VBScript a spustitelný soubor, který stáhl malware hostovaný na GitHubu.
- Nárůst využívání MSI instalátorů: Instalátory MSI jsou nyní mezi nejčastějšími typy souborů pro šíření malwaru, hlavně díky kampaním ChromeLoader. Často jsou distribuovány přes falešné stránky se softwarem a škodlivé reklamy a využívají platné digitální certifikáty k ověřování pravosti kódu, aby vypadaly důvěryhodně a obešly bezpečnostní varování Windows.
CIOtrends si můžete objednat i jako klasický časopis (v tištěné i v digitální podobně) Věnujeme se nejnovějším technologiím a efektivnímu řízení podnikové informatiky. Přinášíme nové ekonomické trendy a analýzy a zejména praktické informace z oblasti podnikového IT se zaměřením na obchodní a podnikatelské přínosy informačních technologií. Nabízíme možná řešení problémů spojených s podnikovým IT v období omezených rozpočtů. Naší cílovou skupinou je vyšší management ze všech odvětví ekonomiky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU