Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...
Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...
Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...
Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...
W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...
Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...
Na celowniku cyberprzestępców po raz kolejny znaleźli się użytkownicy popularnych komunikatorów. Nowoodkryta akcja cyberprzestępców wymierzona była w osoby korzystające z aplikacji Telegram i WhatsApp. Złośliwe oprogramowanie odczytywało wiadomości użytkowników, a nawet dane ze schowków i zrzutów ekranów, kradnąc w ten sposób m.in. kryptowaluty.
"Cyberprzestępcy opracowali skomplikowany i nowatorski model ataku, mogą go powtarzać w przyszłości" - przestrzegają specjaliści ds. cyberbezpieczeństwa ESET.
Eksperci ESET zdemaskowali dziesiątki witryn, podszywających się pod oficjalne strony aplikacji Telegram i WhatsApp. Cyberprzestępcy wzięli na celownik głównie użytkowników systemów Android i Windows, atakując ich za pośrednictwem zainfekowanych wersji popularnych, internetowych komunikatorów. Zainfekowane wersje to przede wszystkim tzw. clippery - rodzaj złośliwego oprogramowania, które kradnie lub modyfikuje zawartość schowka w trakcie popularnej czynności „kopiuj - wklej”. Akcja była wymierzona w osoby posiadające fundusze kryptowalutowe, a niektóre z clipperów atakowały tzw. lokalne portfele kryptowalutowe, za których pośrednictwem przechowuje się cyfrowe klucze do transakcji.
Mechanizm ataku
Specjaliści ESET przyznają, że po raz pierwszy mieli do czynienia ze złośliwym oprogramowaniem typu clipper wymierzonym w użytkowników systemu Android i wbudowanym w komunikator internetowy. Co więcej, był to pierwszy znany im atak na użytkowników Androida, podczas którego wykorzystywano technologię OCR (ang. optical character recognition – pol. optyczne rozpoznawanie znaków) do rozpoznawania tekstu ze zrzutów ekranu przechowywanych na zainfekowanych urządzeniach. OCR był wykorzystywany m.in. w celu znalezienia i kradzieży frazy początkowej, która jest kodem mnemonicznym składającym się z serii słów używanych do odzyskiwania portfeli kryptowalut. Gdy cyberprzestępcy ją zdobędą, mogą ukraść wszystkie środki bezpośrednio z powiązanego portfela kryptowalut.
"Głównym celem zdemaskowanego przez nas mechanizmu było przechwytywanie wiadomości ofiar, związanych z transakcjami kryptowalutowymi. Oprócz zainfekowanych aplikacji WhatsApp i Telegram na Androida, znaleźliśmy również zainfekowane wersje tych samych aplikacji dla systemu Windows" - mówi badacz ESET, Lukáš Štefanko, który odkrył te aplikacje.
Różne wersje zmodyfikowanej złośliwej aplikacji posiadały także dodatkowe funkcje. Jednym z wykorzystywanych mechanizmów było zmienianie przez złośliwe oprogramowanie adresu portfela kryptowalut ofiary na adres atakującego. Działo się to w trakcie rozmowy za pośrednictwem komunikatora. W jeszcze innym przypadku złośliwe oprogramowanie monitorowało komunikację za pośrednictwem Telegrama pod kątem określonych słów kluczowych, związanych z kryptowalutami. Po rozpoznaniu takiego słowa, wysyłało kompletną wiadomość użytkownika na serwer cyberprzestępców. Badacze ESET odkryli również wersje złośliwych aplikacji atakujących użytkowników systemu Windows, a także zainfekowane wersje aplikacji Telegram i WhatsApp dla systemu Windows w pakiecie z tzw. trojanami zdalnego dostępu (RAT - złośliwe oprogramowanie, kontrolujące system za pośrednictwem zdalnego połączenia sieciowego).
Jak chronić się przed tego typu zagrożeniami?
Na podstawie języka używanego przez fałszywe aplikacje można przypuszczać, że cyberprzestępcy celowali przede wszystkim w użytkowników chińskojęzycznych. Ponieważ zarówno Telegram, jak i WhatsApp są zakazane w Chinach od kilku lat (Telegram został w tym kraju zablokowany w 2015 roku, a WhatsApp w 2017 roku) osoby chcące z nich korzystać, często poszukują innych sposobów dostępu. Cyberprzestępcy wykorzystali to, konfigurując reklamy Google Ads prowadzące do fałszywych kanałów YouTube, które następnie kierowały widzów do witryn podszywających się pod Telegram i WhatsApp. Po zgłoszeniu fałszywych reklam i powiązanych z nimi kanałów, Google natychmiast je zlikwidował. Cyberprzestępcy zadali sobie jednak wiele trudu, opracowując tak złożony i innowacyjny pod wieloma względami mechanizm ataku. Niewykluczone, że będzie on powtarzany i modyfikowany przez nich w przyszłości. Jak nie nabrać się na tego typu fałszywe aplikacje?
"Instaluj tylko aplikacje z wiarygodnych i sprawdzonych źródeł, takich jak sklep Google Play, i nie przechowuj niezaszyfrowanych zdjęć ani zrzutów ekranu zawierających poufne informacje na swoim urządzeniu. Jeśli podejrzewasz, że zainstalowałeś zainfekowaną wersję Telegrama lub WhatsApp, ręcznie usuń ją ze swojego urządzenia i pobierz oryginalną aplikację z Google Play lub bezpośrednio z oficjalnej strony internetowej. W przypadku systemu Windows, jeśli podejrzewasz, że twoja aplikacja Telegram jest zainfekowana, użyj rozwiązania zabezpieczającego, aby wykryć zagrożenie i usunąć. Z kolei jedyna oficjalna wersja WhatsApp dla Windows jest obecnie dostępna w sklepie Microsoft" - radzą eksperci ESET.
Źródło: ESET
