Frissítésekkel riogat egy új hackereszköz

​A Domen nevű támadóeszköz az eddigi egyik legkifinomultabb olyan szerzemény, amely képes a felhasználók weboldalakon keresztül történő megtévesztésére.
 

A számítógépek, okostelefonok tulajdonosai sokszor hallhatják, olvashatják, hogy milyen fontos az eszközeik rendszeres frissítése. Azonban a javítások telepítése csak akkor válik a biztonság javára, ha azok hivatalos forrásból származnak. Ellenkező esetben sok probléma merülhet fel. Már régóta léteznek ugyanis olyan alvilági trükkök, amelyek szoftverek frissítésével próbálják megtéveszteni a felhasználókat. Hamis üzenetet jelenítenek meg, miszerint egy-egy alkalmazás elavult, és telepíteni kell a legújabb verziót. Csakhogy az ilyen kártékony üzenetekből letöltődő programok nem frissítések, hanem sokszor vírusok, trójai programok. E módszerre épül az a Domen nevű ártalmas kód is, amely ezt a technikát tovább csiszolja, és részletekbe menően testre szabhatóvá teszi a károkozásokat. Méghozzá egyszerű módon, így az informatikában kevésbé jártas csalók is sok gondot tudnak vele okozni.
 
A Malwarebytes biztonsági kutatói által felfedezett és vizsgált Domen kártékony kód feltört weboldalakon keresztül képes károkozásokhoz hozzájárulni. A weblapok kódjába egy iframe kódrészlet kerül, amely felelős egy template.js nevű JavaScript fájl letöltéséért. Ez az egyetlen állomány elég ahhoz, hogy a támadás kezdetét vegye méghozzá a potenciális áldozat számítógépére, mobil eszközére szabottan.
 
A Domen a webböngészőben egy új réteget jelenít meg, amely eltakarja a – sokszor legitim - tartalmat, és arról tájékoztatja a felhasználót, hogy frissítés letöltésére van szükség.
 
A kártevő működése egyszerűen szabályozható. Megadható például, hogy mennyi idő elteltével jelenítse meg az üzenetét, milyen eszközön (mobil, PC vagy mindkettő) aktiválódjon, és milyen típusú (webböngésző, Flash Player, betűtípus) frissítéssel riogasson. Mindezek mellett nem elhanyagolható tény, hogy jelenleg 30 nyelven képes a felhasználó elé tárni a hamis üzenetét. Vagyis széles körű, testre szabott támadásokban juthat szerephez.


Forrás: Malwarebytes
 
Mi történik a háttérben?
 
Amennyiben a Domen - meglehetősen megtévesztő - üzenetének a felhasználó bedől, és rákattint a letöltésre, akkor a számítógépre különféle állományok jutnak fel. A legtöbbször a NetSupport Manager nevű alkalmazás kerül fel a rendszerre (egy download.hta fájl és PowerShell scriptek bevonásával), amelyen keresztül a támadók távolról különféle műveleteket (fájlok le- és feltöltése, képernyőképek készítése stb.) hajthatnak végre. A NetSupport Manager egyébként egy teljesen legitim, távoli támogatást biztosító eszköz, de sajnos alkalmanként a kiberbűnözők is kihasználják a benne rejlő lehetőségeket.


Forrás: Malwarebytes
 
A Malwarebytes szerint vannak esetek, amikor a Domen kártékony kódokat, elsősorban adatlopásra kiélezett trójai programokat terjeszt.
 
Védekezés
 
A Domen ellen leginkább védelmi alkalmazásokkal, pontosan beállított tartalomszűréssel lehet védekezni, de legalább ilyen fontos, a biztonságtudatos számítógép/okostelefon/táblagép használat is. A szoftverek frissítését soha ne felbukkanó ablakokon keresztül szerezzük be. Ehelyett használjuk az alkalmazások beépített frissítő funkcióit, vagy a fejlesztőcégek hivatalos weboldalairól szerezzük be a programok legújabb verzióit.
Vélemények
 
  1. 4

    A Citrix elérhetővé tette az Application Delivery Controller, illetve a Citrix Gateway legújabb hibajavítását.

  2. 1

    Az Anchor.A trójai elsősorban azzal tud problémákat okozni, hogy egyéb károkozókat juttat fel a számítógépekre.

  3. 4

    A Symantec négy biztonsági résről számolt be egyes hálózatbiztonsági termékeinek kapcsán.

 
Partnerhírek
iPhone és adathalászat

A most bemutatott eset úgy kezdődött, hogy egy felhasználó kapott egy sms-t, amely értesítette arról, hogy elveszített iPhone X készüléke milyen címen található. Az üzenetben egy link is volt, amelyre kattintva elvileg meg lehetett tekinteni a készülék helyét – a gyakorlatban viszont egy adathalász oldalhoz tartozott, amely ellopta a látogatók iCloud azonosítóit.

A kkv-ken keresztül támadják a nagyvállalatokat a kiberbűnözők

A kis- és középvállalatok jelentik a legnagyobb rizikót az IT biztonság terén, így nem meglepő, hogy a számítógépes bűnözők is egyre inkább őket támadják, nem utolsósorban azért, hogy rajtuk keresztül eljussanak a nagyobb vállalatokig.

hirdetés
Közösség
1