- „Raccoon“ ir „Vidar“ virusai plinta per netikros nulaužtos programinės įrangos tinklą
- Apnuodytas turinys baigiasi virusų platinimu
- Naudojami įvairūs būdai, viliojantys piratine programine įranga susidomėjusius žmones
„Raccoon“ ir „Vidar“ virusai plinta per netikros nulaužtos programinės įrangos tinklą
Ne vienam šiais laikais, kai programos ir licencijos programinei įrangai kainuoja didelius pinigus, yra patogu naudotis piratavimo puslapiais ir „crackinti“ reikalingas programas vietoj oficialaus ir saugaus jų įsigijimo. Tai kelia pavojų kompiuteriams ir asmens duomenų saugumui. Neseniai pastebėta, kad atsirado dar viena kampanija, kuri naudodamasi nelegalių programų paketų populiarumu platina informaciją vagiančias programas.
Nuo 2020 m. pradžios informacijai vogti skirtoms kenkėjiškoms programoms, tokioms kaip „Raccoon“ ir „Vidar“ platinti naudojama didelė ir atspari infrastruktūra, kurią sudaro daugiau kaip 250 domenų[1]. Užkrėtimo grandinėje naudojama apie šimtas netikrų nulaužtos programinės įrangos katalogų svetainių, kurios nukreipia į kelias nuorodas prieš parsisiunčiant paketą, patalpintą failų dalijimosi platformose, pavyzdžiui, „GitHub“.
Prancūzijos kibernetinio saugumo bendrovė įvertino, kad šiuos domenus valdo grėsmių kūrėjų grupė arba hakeris, valdantis srauto nukreipimo sistemą (TDS), kuri leidžia kitiems kibernetiniams nusikaltėliams išsinuomoti paslaugą savo kenkėjiškoms programoms platinti.
Atakos nukreiptos į naudotojus, ieškančius nulaužtų programinės įrangos ir žaidimų versijų tokiose paieškos sistemose kaip „Google“, o sukčiavimo svetainės pateikiamos viršuje, pasitelkiant metodą, vadinamą paieškos optimizavimo (SEO) apnuodijimu[2], kad aukos būtų įkalbėtos atsisiųsti ir paleisti kenkėjiškas programas kompiuteryje.
Apnuodytas turinys baigiasi virusų platinimu
Užnuodytame paieškos rezultate ieškant programinės įrangos pateikiama žadėtos programos atsisiuntimo nuoroda, kurią spustelėjus paleidžiama penkių etapų URL nukreipimo seka, kad naudotojas patektų į tinklalapį.
Tada jau jame rodoma sutrumpinta nuoroda, nukreipianti į slaptažodžiu apsaugotą RAR archyvo failą, kuris kartu su slaptažodžiu talpinamas programuotojų ir hakerių svetainėse tamsiajame internete.
Kelių nukreipimų naudojimas apsunkina automatinę saugumo sprendimų analizę. Toks infrastruktūros iškirpimas beveik neabejotinai yra skirtas atsparumui užtikrinti, kad būtų lengviau ir greičiau atnaujinti ar pakeisti žingsnį. Taip išvengiama viruso aptikimo.
Jei auka parsisiunčia RAR archyvą ir paleidžia jame esančią tariamą sąrankos vykdomąją programą, sistemoje įdiegiama viena iš dviejų kenkėjiškų programų šeimų „Raccoon“ ir „Vidar“. Tokie virusai yra skirti informacijai vogti, prisijungimus ir slaptažodžius kaupti.
Šioje atakoje plačiai kaip vilionė naudojama programinė įranga, kuri yra populiari.
Neseniai buvo paviešinta „Google“ reklamų kampanija, kurios metu tokios programos kaip „AnyDesk“ ir „Bluestacks“, „Notepad++“, „Zoom“ buvo naudojamos vilionėms, kad kita informacijos vagystėms naudojama programa „Rhadamanthys Stealer“ būtų įrašoma nepastebimai.[3]
Naudojami įvairūs būdai, viliojantys piratine programine įranga susidomėjusius žmones
Ši ataka platina kelis tų pačių šeimų kompiuterinių virusų variantus. Pastebėta, kad kitas atakos grandinės variantas naudojasi apgaulingais elektroniniais laiškais, kurie maskuojami kaip banko išrašai, kad suklaidintų nesąmoningus naudotojus ir priverstų juos spustelėti apgaulingas nuorodas.
Abi „Raccoon“ ir „Vidar“ kenkėjiškos programos yra įrengtos taip, kad iš užkrėstų kompiuterių gali išsiurbti įvairią asmeninę informaciją, surinkti prisijungimo duomenis iš interneto naršyklių ir pavogti duomenis iš įvairių kriptovaliutų piniginių. Turint vienus prisijungimus, galima panaudoti tuos duomenis bandant prisijungti prie kitų paskyrų, kur saugoma informacija ar pinigai.
Vartotojams patariama susilaikyti nuo piratinės programinės įrangos atsisiuntimo ir, kur įmanoma, įdiegti daugiafaktorinį autentifikavimą, kad apsaugotų paskyras. Piratavimas ir nelegalios licencijuotos programinės įrangos paieškos internete retai baigiasi gerai, nes tokios platformos gali platinti nuo mažiausio naršyklės užgrobėjo iki išpirkos reikalaujančio viruso įšaknių[4].
Labai svarbu, kad naudotojai būtų atsargūs gaudami nepageidaujamus el. laiškus arba lankydamiesi sukčiavimo svetainėse, o prieš atsisiųsdami bet kokias programas patikrintų šaltinį. Visada galite pasirinkti išplėstinius įrašymo nustatymus ir peržiūrėti galimai įrašomas programas, kurias dažnai įtraukia kenkėjų kūrėjai ir platintojai.