Frissítésekkel riogat egy új hackereszköz

​A Domen nevű támadóeszköz az eddigi egyik legkifinomultabb olyan szerzemény, amely képes a felhasználók weboldalakon keresztül történő megtévesztésére.
 

A számítógépek, okostelefonok tulajdonosai sokszor hallhatják, olvashatják, hogy milyen fontos az eszközeik rendszeres frissítése. Azonban a javítások telepítése csak akkor válik a biztonság javára, ha azok hivatalos forrásból származnak. Ellenkező esetben sok probléma merülhet fel. Már régóta léteznek ugyanis olyan alvilági trükkök, amelyek szoftverek frissítésével próbálják megtéveszteni a felhasználókat. Hamis üzenetet jelenítenek meg, miszerint egy-egy alkalmazás elavult, és telepíteni kell a legújabb verziót. Csakhogy az ilyen kártékony üzenetekből letöltődő programok nem frissítések, hanem sokszor vírusok, trójai programok. E módszerre épül az a Domen nevű ártalmas kód is, amely ezt a technikát tovább csiszolja, és részletekbe menően testre szabhatóvá teszi a károkozásokat. Méghozzá egyszerű módon, így az informatikában kevésbé jártas csalók is sok gondot tudnak vele okozni.
 
A Malwarebytes biztonsági kutatói által felfedezett és vizsgált Domen kártékony kód feltört weboldalakon keresztül képes károkozásokhoz hozzájárulni. A weblapok kódjába egy iframe kódrészlet kerül, amely felelős egy template.js nevű JavaScript fájl letöltéséért. Ez az egyetlen állomány elég ahhoz, hogy a támadás kezdetét vegye méghozzá a potenciális áldozat számítógépére, mobil eszközére szabottan.
 
A Domen a webböngészőben egy új réteget jelenít meg, amely eltakarja a – sokszor legitim - tartalmat, és arról tájékoztatja a felhasználót, hogy frissítés letöltésére van szükség.
 
A kártevő működése egyszerűen szabályozható. Megadható például, hogy mennyi idő elteltével jelenítse meg az üzenetét, milyen eszközön (mobil, PC vagy mindkettő) aktiválódjon, és milyen típusú (webböngésző, Flash Player, betűtípus) frissítéssel riogasson. Mindezek mellett nem elhanyagolható tény, hogy jelenleg 30 nyelven képes a felhasználó elé tárni a hamis üzenetét. Vagyis széles körű, testre szabott támadásokban juthat szerephez.  
Mi történik a háttérben?
 
Amennyiben a Domen - meglehetősen megtévesztő - üzenetének a felhasználó bedől, és rákattint a letöltésre, akkor a számítógépre különféle állományok jutnak fel. A legtöbbször a NetSupport Manager nevű alkalmazás kerül fel a rendszerre (egy download.hta fájl és PowerShell scriptek bevonásával), amelyen keresztül a támadók távolról különféle műveleteket (fájlok le- és feltöltése, képernyőképek készítése stb.) hajthatnak végre. A NetSupport Manager egyébként egy teljesen legitim, távoli támogatást biztosító eszköz, de sajnos alkalmanként a kiberbűnözők is kihasználják a benne rejlő lehetőségeket.  
A Malwarebytes szerint vannak esetek, amikor a Domen kártékony kódokat, elsősorban adatlopásra kiélezett trójai programokat terjeszt.
 
Védekezés
 
A Domen ellen leginkább védelmi alkalmazásokkal, pontosan beállított tartalomszűréssel lehet védekezni, de legalább ilyen fontos, a biztonságtudatos számítógép/okostelefon/táblagép használat is. A szoftverek frissítését soha ne felbukkanó ablakokon keresztül szerezzük be. Ehelyett használjuk az alkalmazások beépített frissítő funkcióit, vagy a fejlesztőcégek hivatalos weboldalairól szerezzük be a programok legújabb verzióit.