Koronavírusos adatlopások indultak az interneten

​Újabb koronavírussal kapcsolatos károkozások vették kezdetüket az interneten. Ezúttal adatlopásra alkalmas programok terjednek a világjárvány kihasználásával.
 

Az elmúlt hetekben számos olyan alvilági kampány indult, amelyek a koronavírus körül kialakult felhasználói kíváncsiságot, félelmet igyekeztek a csalók javára fordítani. A kiberbűnözők minden lehetséges módon igyekeztek megtéveszteni az embereket, és ehhez az esetek többségében ártalmas e-maileket vetettek be. Ezeket többnyire tömegesen terjesztették, de azért a célzottabb támadások sem maradtak el.
 
A Microsoft szerint a világjárvány témája köré felépített támadások intenzitása továbbra sem csökken, sőt egy újabb támadáshullám vette kezdetét az elmúlt napokban szintén elektronikus levelek felhasználásával. Az eset érdekessége, hogy erre a vállalat gépi tanulást alkalmazó technológiái figyeltek fel, és jelezték a kutatók számára, hogy valami nincs rendben. A szakemberek nekiláttak az elemzéseknek, és megállapították, hogy egy olyan spamkampányról van szó, amely a LokiBot nevű trójai program terjesztését szolgálja.
 
A káros küldemények többféle üzenetet tartalmazhatnak. Van olyan, amely a világjárvánnyal összefüggésben közöl állítólagosan hasznos információkat, például a vállalkozások újraindulási lehetőségeivel kapcsolatban. De akadt már fent a szűrőkön olyan e-mail is, ami szintén a járványra hivatkozva azt közölte, hogy lényeges banki változások történtek, és minden létfontosságú információ a mellékelt állományban megtalálható. A valóságban persze ebből semmi sem igaz, ugyanis a levelek mellékletében szereplő fájl nem mást tartalmaz, mint a trójai programot.
 
A Microsoft vizsgálata szerint a problémás elektronikus levelek közös jellemzője, hogy a csatolmányukban egy ARJ kiterjesztéssel ellátott fájlt tartalmaznak. Amennyiben ezt a felhasználó megnyitja, akkor a számítógépe - megfelelő védelem hiányában - azonnal megfertőződhet. Ettől kezdve pedig az adatok is veszélybe kerülnek, mivel a LokiBot első cselekedete, hogy a webböngészőkben és az egyéb - FTP, levelező, terminál stb. - alkalmazásokban eltárolt bizalmas adatokat (főleg hitelesítéshez használatos felhasználóneveket és jelszavakat) összegyűjti, majd feltölti távoli kiszolgálókra.
 

„Az ARJ-fájlok olyan tömörített állományok, amelyeket néhány víruskereső egész egyszerűen átugrik az ellenőrzések során, különösen akkor, ha a fájlt jelszó is védi. A Microsoft Defender és az Office 365 védelme azonban ezeket az állományokat is vizsgálja, amikor azok levelek csatolmányaként érkeznek, vagy azokat a felhasználó le akarja tölteni”

- mondta Tanmay Ganacharya, a Microsoft Threat Protection kutatási igazgatója. A szakember egyúttal a gépi tanulás jelentőségére is rávilágított, hiszen ezúttal is ez segítette a védelmi intézkedések meghozatalát.