Office-bővítményeket használsz? Figyelj, mit töltesz le!
Tényleg most már minden napra jut egy hír, hogy milyen újabb trükkel próbálkoznak a rosszindulatú támadók megszerezni a pénzünket, adatainkat. Bár a mostani cikkben bemutatott módszer annyira nem új vagy különleges, mégis figyelmeztető jel. A Kaspersky kiberbiztonsági cég szerint ugyanis rosszindulatú szereplők a SourceForge szoftverfejlesztői platformra feltöltött hamis Microsoft Office-bővítményekbe ágyaznak rosszindulatú szoftvereket és ezzel igyekeznek a pénzünkhöz, kriptovalutánkhoz hozzáférni.
Az egyik „officepackage” nevű bővítmény valódi Microsoft Office-bővítményeket tartalmaz, de egy ClipBanker nevű rosszindulatú programot is rejt. Ez a számítógép vágólapjára másolt tárcacímet a támadó címével helyettesíti. Ahogy a Kaspersky Anti-Malware Research Team április 8-i posztjában írta, ez kifejezetten alattomos, mert a tárca felhasználók jellemzően másolják és nem gépelik a címeket. Így ha az eszköz megfertőződik a ClipBankerrel, az áldozat pénze teljesen váratlan helyen fog landolni. A hamis projekt SourceForge-on található oldala egy legitim fejlesztői oldalt másol, Office kiegészítőkkel és letöltőgombokkal. Sőt, még a keresési eredmények is hozzák.
Óvatosan, ha szoftvereket töltögetünk le
A Kaspersky szerint a kártevő fertőzési láncának egy másik jellemzője, hogy a fertőzött eszközök adatait, például az IP-címeket, az országot és a felhasználóneveket a Telegramon keresztül küldi el a hackereknek. A kártevő képes arra is, hogy a megfertőzött rendszert saját korábbi telepítései vagy vírusirtó szoftverek után átkutassa, és szükség esetén törölje magát. A Kaspersky szerint a hamis letöltés egyes fájljai kicsik, ami gyanús, mivel az Office alkalmazások sosem ilyen kicsik, még tömörítve sem. Más fájlok szeméttel vannak kitömve, hogy meggyőzzék a felhasználókat arról, hogy egy valódi szoftvertelepítőt látnak. Bár a támadás elsősorban a kriptotárcákat veszi célba, a támadók a rendszerhez való hozzáférést veszélyesebb szereplőknek is eladhatják.
A felület orosz nyelvű, ami a Kaspersky feltételezése szerint azt jelentheti, hogy orosz nyelvű felhasználókat céloz meg. A Kaspersky vizsgálata is ezt erősíti, azaz a potenciális áldozatok 90%-a Oroszországban van, ahol január eleje és március vége között 4604 felhasználó találkozott a rendszerrel. Az áldozattá válás elkerülése érdekében a Kaspersky azt ajánlja, hogy csak megbízható forrásból töltsön le mindenki szoftvereket. Mivel a kalózprogramok és az alternatív letöltési lehetőségek nagyobb kockázatot hordoznak. Mondjuk ez azért nem újdonság, évtizedek óta létező kockázat a kalóz forrásból származó szoftverek használata. Csak a korábbihoz képest most még újabb és hitelesebb módszereket keresnek a támadók a szoftver terjesztésére.