Vírust terjeszt egy hamis Office 365 oldal

A vírusírók egy hamis, meglehetősen megtévesztő, Office 365 weboldal segítségével terjesztik az egyik adatlopásra alkalmas trójai programjukat.
 

Az korántsem számít újdonságnak, hogy a netes csalók egyebek mellett a Microsoft weboldalainak, online szolgáltatásainak ismeretségét is felhasználják arra, hogy megtévesszék a felhasználókat. Eddig azonban a legtöbbször adathalász támadásokat indítottak széles körben használatos szolgáltatások révén. E visszaélések során elsősorban bizalmas adatokat igyekeztek kipuhatolni, főként felhasználóneveket és jelszavakat próbáltak zsákmányolni. Most azonban változott a helyzet, mivel már a vírusterjesztés is felkerült a repertoárba.
 
A MalwareHunterTeam biztonsági kutatói egy olyan hamis, Office 365-tel kapcsolatos weblapot fedeztek fel, amely a már eddig is komoly károkat okozó TrickBot trójai terjesztéséből vette ki a részét. Maga a weblap viszonylag precízen kidolgozott hamisítványnak tekinthető, első ránézésre leginkább a webcíme utalhat arra, hogy valami nincs rendbe. Míg az eredeti, Microsoft-féle Office 365 az www.office.com cím segítségével érhető el, addig a kártékony weblap egy .live végződésű domain alatt vált letölthetővé.


Forrás: MalwareHunterTeam
 
Amikor a biztonsági kutatók megnyitották a weboldalt, akkor az néhány másodperc elteltével egy üzenetet jelenített meg, miszerint az éppen használt webböngésző elavult, így az adatlopáshoz is hozzájárulhat, és különféle hibákat eredményezhet. Ezért aztán gyorsan frissíteni kell, amihez egy frissítésre szolgáló gomb is rendelkezésre áll. (A Chrome és a Firefox is más-más kinézetű üzenetet jelenít meg ez esetben, hogy még megtévesztőbb legyen a támadás.)


Forrás: MalwareHunterTeam
 
Mondani sem kell, hogy a megjelenő frissítő gomb nem a webböngésző legújabb verziójának telepítőjére mutat, hanem egy ártalmas fájlra, amely az upd365_58v01.exe nevet kapta (nyilván ez bármikor változhat a jövőben). Ha ezt a felhasználó a böngészőfrissítés reményében elindítja, akkor azonnal megfertőződik a számítógépe, legalábbis naprakész vírusvédelem hiányában biztosan.
 
A támadás során terjesztett TrickBot trójai először kapcsolódik egy vezérlőszerverhez, és arra feltölti a legfontosabb rendszerinformációkat, köztük a telepített alkalmazások listáját, illetve a Windows-os szolgáltatások nevét is. Ezt követően különféle modulokat szerez be, illetve indít el. Ezek segítségével többek között alkalmassá válik webböngészőkből történő adatszivárogtatásra: feltölti a mentett felhasználóneveket, jelszavakat, űrlapadatokat a szerverére.
 
Védekezés
 
A TrickBot elleni fellépés során nagyon fontos, hogy a számítógépek naprakész vírusvédelemmel rendelkezzenek. Emellett azonban nem szabad bedőlni a fenti - és a hasonló - trükköknek. A böngészőket (és más alkalmazásokat) célszerű a beépített szolgáltatások segítségével frissíteni, sőt ezt általában a szoftverek maguk is megteszik. Végső soron pedig mindig a fejlesztők hivatalos weboldalairól kell letölteni a legújabb verziókat.
Vélemények
 
  1. 3

    A Vivotek firmware frissítést adott ki egyes IP-kameráihoz.

  2. 3

    A Dell EMC RSA Archer két sérülékenységtől vált meg a legújabb frissítéseinek köszönhetően.

  3. 1

    A Priwidd trójai egy hátsó kaput létesít a fertőzött számítógépeken, és egy webszerverről fogadja a támadók utasításait.

 
Partnerhírek
Hamis szerelem a Facebookon

Tragédiába torkollott egy facebookos kamuprofil körüli eset, a féltékeny férj lelőtte az online csalók áldozatául esett feleségét.

A mobilbiztonság helyzete 2019 első félévében

Az ESET átfogó áttekintést készített arról, hogyan alakult a mobilbiztonsági helyzete a 2019-es esztendő első félévében.

hirdetés
Közösség
1