Platformy z krótkimi filmikami, takie jak TikTok i Instagram , stały się najnowszym sposobem, w jaki cyberprzestępcy rozpowszechniają złośliwe oprogramowanie.
Widzieliśmy już, jak cyberprzestępcy odchodzą od tradycyjnych wiadomości phishingowych na rzecz taktyk, które nakłaniają użytkowników do samodzielnej instalacji złośliwego oprogramowania. Obecnie wabi się ich zgrabnymi filmikami w mediach społecznościowych, które obiecują darmowy dostęp do Spotify Premium, bezpłatną Windows lub darmowy pakiet Microsoft Office, a zamiast tego instalują na Windows programy wykradające dane.
Naukowcy z ReversingLabs odkryli dwie aktywne kampanie, w których wykorzystuje się krótkie filmy wideo, aby nakłonić użytkowników do uruchomienia niebezpiecznych poleceń PowerShell lub odwiedzenia złośliwych stron z plikami do pobrania. O podobnych kampaniach informowali już inni badacze oraz krajowe agencje ds. cyberbezpieczeństwa, co wskazuje na rosnącą tendencję: cyberprzestępcy uczą się wykorzystywać algorytmy mediów społecznościowych równie skutecznie, jak specjaliści od marketingu.
Zgodnie z typową dla mediów społecznościowych tendencją, filmy na platformach takich jak TikTok i Instagram rzekomo rozwiązują problem, o którego istnieniu nawet nie wiedziałeś. Haczyk polega na tym, że wykonanie tych instrukcji powoduje zainstalowanie złośliwego oprogramowania na Twoim urządzeniu.
Jak działa oszustwo
Pierwsza kampania sprawia wrażenie niezwykle profesjonalnej.
Konta o nazwach takich jakwindows.tips” czywindows.insights” wykorzystują stylistykę Windows i publikują profesjonalnie przygotowane filmy instruktażowe, które wyglądają jak autentyczne materiały pomocy technicznej. Filmy te są opatrzone tagami związanymi z Windows pakietem Office, dzięki czemu pojawiają się obok prawdziwych porad i wskazówek dotyczących rozwiązywania problemów.
Filmy obiecują Windows odblokowanie usług Spotify Premium, pakietu Microsoft Office lub Windows . Widzowie są następnie prowadzeni przez instrukcje krok po kroku, które obejmują uruchomienie programu PowerShell – legalnego narzędzia Windows – oraz wklejenie poleceń. Polecenia te powodują pobranie i uruchomienie złośliwego oprogramowania, podobnie jak w przypadku oszustw typu ClickFix, o których pisaliśmy wcześniej.
Złośliwe oprogramowanie zidentyfikowano jako Vidar – program służący do kradzieży danych, którego celem jest wykradanie poufnych informacji z zainfekowanych urządzeń. Vidar najczęściej atakuje:
- Zapisane hasła w przeglądarce
- Autouzupełnianie danych
- Pliki cookie przeglądarki
- Portfele kryptowalutowe
- Dane dotyczące uwierzytelniania dwuskładnikowego (2FA)
- Dane przeglądarki TOR
Skradzione dane są następnie przesyłane z powrotem na serwery kontrolowane przez hakerów.
Jak zachować bezpieczeństwo
Badania dotyczące podobnych ataków wykorzystujących aplikację TikTok wskazują, że skrypty te często wprowadzają wyłączenia w Windows , utrudniając oprogramowaniu zabezpieczającemu wykrywanie przyszłych złośliwych działań.
Na szczęście istnieje kilka prostych sposobów, by się zabezpieczyć:
- Oprogramowanie pobieraj wyłącznie z oficjalnych stron internetowych producentów.
- Podchodź sceptycznie do „darmowych”, pirackich lub nieoficjalnych wersji płatnego oprogramowania.
- Nie należy bez zastanowienia wykonywać poleceń podanych na stronie internetowej, zwłaszcza jeśli strona wymaga uruchomienia poleceń na urządzeniu lub skopiowania i wklejenia kodu. Wiele stron ClickFix wykorzystuje odliczanie czasu, fałszywe liczniki użytkowników lub inne taktyki wywierające presję, aby skłonić użytkownika do szybkiego działania.
- Sprawdź, czy pobrane pliki są zgodne z tym, co zamierzałeś pobrać.
- Przed uruchomieniem pliku sprawdź jego wydawcę i podpis cyfrowy. W Windows zazwyczaj można to zrobić, klikając plik prawym przyciskiem myszy i wybierającopcję „Właściwości”>„Podpisy cyfrowe”. Pamiętaj, że ważny podpis nie gwarantuje, że plik jest bezpieczny, ale brak podpisu lub podejrzany podpis to często sygnał ostrzegawczy.
- Korzystaj z aktualnego oprogramowania antywirusowego działającego w czasie rzeczywistym, aby blokować złośliwe oprogramowanie, takie jak programy wykradające dane, zanim się uruchomi.
Wskazówka: Jeśli nie masz pewności, czy film, wiadomość lub strona internetowa są wiarygodne, możesz zapytać o to Malwarebytes Guard. Narzędzie to pomoże zidentyfikować podejrzane treści i doradzi, co dalej robić.
Zdjęcie dzięki uprzejmości ReversingLabs
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
