Cyberprzestępcy imają się przeróżnych metod infekowania kolejnych komputerów. Czasami najlepszymi rozwiązaniami są te zdecydowanie najprostsze - co gdyby udało się przekonać użytkownika, że pobiera popularny, akurat potrzebny mu program, a tak naprawdę właśnie zsyła na siebie plagę niebezpiecznych programów?
Francuski ekspert ds. cyberbezpieczeństwa pochwalił się w internecie własnym opracowaniem, które dotyka problematyki stron oferujących przeróżne programy - a obok nich także paczki pełne złośliwego kodu. Działa to bardzo podobnie jak w przypadku "bibliotek" aplikacji - owszem, pobieramy aplikację, która jest nam potrzebna. Ale oprócz tego toolbar, kilka dziwnych śmieci i adware'a. Bo dlaczego nie?
Bodaj najciekawszym przypadkiem tego typu zidentyfikowanym przez Ivana Kwiatkowskiego jest Keepass.fr - na tej domenie umieszczono stronę, która mogłaby zmylić niejednego fana tego programu. Ta zwyczajnie udaje oficjalną witrynę aplikacji i jak wynika z analiz eksperta - oprócz samego programu w komputerze instalowane są przeróżne śmieci, także złośliwe oprogramowanie. Niewprawny użytkownik może nawet tego nie zauważyć i będzie żył w poczuciu, że pozyskał potrzebny mu, oryginalny program. To błąd - w takich "paczkach" mogą znajdować się także niezwykle niebezpieczne ransomware - blokujące dostęp do danych aż do czasu zapłacenia okupu. Jak pokazała historia NotPetya, niektóre z nich to najzwyklejsze w świecie wipery, które wcale nie oddają nam danych w zamian za zapłacenie okupu.
Spotted: a French website impersonates @KeePass at https://t.co/MU82EGmKz8, bundles it with adware (https://t.co/YKCFGEBlch) and worst of all (apologies to non-French speaking readers): pic.twitter.com/XWiXgDuevH
— Ivan Kwiatkowski (@JusticeRage) 24 lipca 2018
Francuski ekspert ds. cyberbezpieczeństwa pochwalił się w internecie własnym opracowaniem, które dotyka problematyki stron oferujących przeróżne programy - a obok nich także paczki pełne złośliwego kodu. Działa to bardzo podobnie jak w przypadku "bibliotek" aplikacji - owszem, pobieramy aplikację, która jest nam potrzebna. Ale oprócz tego toolbar, kilka dziwnych śmieci i adware'a. Bo dlaczego nie?
Bodaj najciekawszym przypadkiem tego typu zidentyfikowanym przez Ivana Kwiatkowskiego jest Keepass.fr - na tej domenie umieszczono stronę, która mogłaby zmylić niejednego fana tego programu. Ta zwyczajnie udaje oficjalną witrynę aplikacji i jak wynika z analiz eksperta - oprócz samego programu w komputerze instalowane są przeróżne śmieci, także złośliwe oprogramowanie. Niewprawny użytkownik może nawet tego nie zauważyć i będzie żył w poczuciu, że pozyskał potrzebny mu, oryginalny program. To błąd - w takich "paczkach" mogą znajdować się także niezwykle niebezpieczne ransomware - blokujące dostęp do danych aż do czasu zapłacenia okupu. Jak pokazała historia NotPetya, niektóre z nich to najzwyklejsze w świecie wipery, które wcale nie oddają nam danych w zamian za zapłacenie okupu.
Spotted: a French website impersonates @KeePass at https://t.co/MU82EGmKz8, bundles it with adware (https://t.co/YKCFGEBlch) and worst of all (apologies to non-French speaking readers): pic.twitter.com/XWiXgDuevH
— Ivan Kwiatkowski (@JusticeRage) 24 lipca 2018
Kwiatkowski skonstruował listę domen, w których znajduje / znajdowało się oprogramowanie, które udaje oficjalną wersję dostarczaną przez producenta. Obok nich najczęściej można znaleźć stosy niebezpiecznych treści:
Jak można wyczytać z listy, na serwerze znajduje się pełno witryn, które odnoszą się do bardzo popularnych w sieci programów użytkowych. Internauta, który na nie trafi może być absolutnie przekonany o tym, że znajduje się na stronie producenta konkretnego narzędzia - dlatego też może wyłączyć się czujność, nawet u nieco bardziej rozgarniętych osób.
Jak wynika z analiz eksperta - wszystkie te strony znajdują się na jednym serwerze. To już oznacza, że wszystkie te próby ataków pochodzą od jednej osoby / grupy. Co więcej, gdyby ktokolwiek chciał się z nimi rozprawić, będzie to znacznie prostsze niż poszukiwanie rozproszonych po różnych serwerach specjalnie przygotowanych witryn.
Nawet, jeżeli szukacie programu w oficjalnej stronie producenta, miejcie się na baczności. Kilka razy zdarzyło się, że strony należące do wytwórców oprogramowania były przejmowane, a w miejsce bezpiecznych, zweryfikowanych programów umieszczano takie, które doinstalowywały złośliwe śmieci.
Kwiatkowski skonstruował listę domen, w których znajduje / znajdowało się oprogramowanie, które udaje oficjalną wersję dostarczaną przez producenta. Obok nich najczęściej można znaleźć stosy niebezpiecznych treści:
Jak można wyczytać z listy, na serwerze znajduje się pełno witryn, które odnoszą się do bardzo popularnych w sieci programów użytkowych. Internauta, który na nie trafi może być absolutnie przekonany o tym, że znajduje się na stronie producenta konkretnego narzędzia - dlatego też może wyłączyć się czujność, nawet u nieco bardziej rozgarniętych osób.
Jak wynika z analiz eksperta - wszystkie te strony znajdują się na jednym serwerze. To już oznacza, że wszystkie te próby ataków pochodzą od jednej osoby / grupy. Co więcej, gdyby ktokolwiek chciał się z nimi rozprawić, będzie to znacznie prostsze niż poszukiwanie rozproszonych po różnych serwerach specjalnie przygotowanych witryn.
Nawet, jeżeli szukacie programu w oficjalnej stronie producenta, miejcie się na baczności. Kilka razy zdarzyło się, że strony należące do wytwórców oprogramowania były przejmowane, a w miejsce bezpiecznych, zweryfikowanych programów umieszczano takie, które doinstalowywały złośliwe śmieci.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
