Złośliwe oprogramowanie to temat, w którym istotne są dwie rzeczy: skuteczne infekowanie i... zręczne omijanie wykrycia. Gdy zobaczyłem, że ktoś próbuje "łapać" ofiary na fałszywe aktualizacje przeglądarek, uznałem że to "stare". Jednak moją uwagę przykuło to, w jaki sposób przestępcy omijali kwestię identyfikacji zagrożenia i blokad. Do tego celu wykorzystano bowiem... blockchaina.
Jak podaje serwis Krebs on Security, autorzy procederu najpierw zbierali zhakowane strony oparte na platformie WordPress. To właśnie tam "wstrzykiwano" złośliwe, fałszywe komunikaty mówiące o tym, że wymagana jest instalacja aktualizacji, zanim będziemy w stanie wyświetlić treść na stronie. Jeśli użytkownik na to się złapał, zamiast aktualizacji na komputerze lądował trojan, który kradł dane.
Początkowo oszuści przechowywali swoje złośliwe pliki z trojanem na platformie Cloudflare. Jednak kiedy Cloudflare otrzymał informacje o tym, że w jego infrastrukturze "odpalono" złośliwą kampanię i dokonał blokady, przestępcy przenieśli się na Binance Smart Chain. BSC stworzono natomiast do uruchamiania zdecentralizowanych aplikacji i smart-kontraktów na blockchainie kryptowalutowym. Wykorzystanie Smart Chaina do tego typu rzeczy jest jak najbardziej możliwe i... bardzo niebezpieczne.
Skrypty wbudowane w przejęte witryny oparte na Wordpressie tworzą nowe smart-kontrakty w infrastrukturze BSC opartej na blockchainie. Te natomiast są kontrolowane przez przestępców i mają za zadanie wykonywać ich polecenia - skupiające się rzecz jasna na próbie skłonienia do pobrania pliku i uruchomienia go. Jest jednak rzecz, o której trzeba pamiętać. Wyrugowanie złośliwego oprogramowania z blockchaina nie jest wcale czymś oczywistym.
Bo tak zahostowane złośliwe oprogramowanie jest niezdatne do usunięcia. Złośliwy kod zostaje tam zapisany na zawsze, a jedyna możliwość kontroli nad nim pozostaje w rękach cyberprzestępców. Nie jest jednak tak, że nie da się z tym nic zrobić. Dostawca usługi zablokował adresy związane z rozprzestrzenianiem trojana i opracował model wykrywania przyszłych inteligentnych kontraktów, które mogłyby wykorzystywać podobne metody. Tym samym możliwa jest ich identyfikacja i zneutralizowanie zagrożeń jeszcze przed tym, jak zdążą wyrządzić szkody.
Według firmy Proofpoint, na "rynku" aktywne są przynajmniej cztery grupy zrzeszające cyberprzestępców wykorzystujących fałszywe aktualizacje przeglądarek celem rozprzestrzeniania złośliwego oprogramowania. Dlaczego tego typu metody w ogóle działają? Cóż, wykorzystuje się niską świadomość technologiczną internautów. Te osoby, które nie przywiązują uwagi do swojego bezpieczeństwa w sieci zwyczajnie dadzą się złapać. Tym bardziej, że przestępca bazuje na tym, iż użytkownik już na początku jest zdeterminowany w uzyskaniu dostępu do treści, której rzekomo nie jest w stanie wyświetlić z powodu nieaktualnej przeglądarki: "Szukałem tej informacji, więc jej potrzebuję i chcę do niej dotrzeć".
Świadomość w zakresie cyberzagrożeń jest rzeczą bardzo istotną. Aktualizacje przeglądarek zazwyczaj odbywają się automatycznie - jeżeli nie zmienialiśmy w ustawieniach modelu dostarczania uaktualnień, program raczej nas nie zapyta o jej instalację. Przywiązujmy uwagę do tego, skąd instalujemy nowe programy oraz przeznaczone do nich paczki poprawek. Jak widać - przestępcy ogrywają cały czas te same metody. Główna różnica to sposób, w jaki próbują oni unikać wykrycia i zneutralizowania zagrożenia.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
