Wyrafinowany oszustwo postawił społeczność użytkowników kryptowalut i technologii w stan gotowości po tym, jak ukryte złośliwe oprogramowanie w pakiecie Microsoft Office. Mówi się, że to zagrożenie, niedawno zidentyfikowane przez ekspertów ds. cyberbezpieczeństwa, podszywa się pod legalny zestaw narzędzi na popularnych platformach pobierania i ma na celu kradzież środków cyfrowych bez wiedzy ofiar.
Oszustwo polega na wykorzystaniu fałszywych pakietów dodatków do pakietu Microsoft Office opublikowanych w portalu SourceForge., znanej platformy hostingu oprogramowania. Pliki te, choć przedstawiane jako nieszkodliwe i przydatne, zawierają złośliwe oprogramowanie o nazwie ClipBanker, które specjalizuje się w przechwytywaniu adresów kryptowalut kopiowanych przez użytkowników w celu przekierowywania środków do portfeli atakujących.
ClipBanker: Malware ukryty w pakiecie Microsoft Office
ClipBanker nie wykonuje żadnych widocznych dla użytkownika czynności, lecz czeka, aż użytkownik skopiuje adres portfela., powszechna praktyka podczas wykonywania transfery kryptoaktywów. Zamiast utrzymywać ten adres, złośliwe oprogramowanie zastępuje go innym, będącym pod kontrolą atakującego, przywłaszczając w ten sposób środki bez wzbudzania podejrzeń.
Firma ochroniarska Kaspersky była jedną z pierwszych, która zbadała ten atak i ostrzegła o nim., podkreślając, że nazwa oszukańczego pakietu używanego w niektórych przypadkach to „officepackage”. Mimo że zawiera elementy, które wyglądają na autentyczne, jego prawdziwym celem jest naruszenie bezpieczeństwa systemów użytkowników.
Inżynieria społeczna i zaawansowane techniki unikania
Jedną z taktyk stosowanych przez przestępców w celu zwiększenia wiarygodności złośliwego pliku jest stworzenie strony pobierania bardzo podobnej do oficjalnych stron.. Wyświetla nazwy popularnych narzędzi i przycisków instalacyjnych, które imitują prawidłowe procesy, co zwiększa prawdopodobieństwo wpadnięcia użytkowników w pułapkę.
Oprócz podmiany adresów portfeli, złośliwe oprogramowanie zbiera informacje z zainfekowanego systemu., w tym adresy IP, lokalizację geograficzną i nazwę użytkownika. Informacje te są przekazywane operatorom wirusa za pośrednictwem komunikatora Telegram, co umożliwia atakującym zachowanie zdalnej kontroli nad urządzeniem, a nawet udzielanie dostępu osobom trzecim.
Szczegóły techniczne budzą podejrzenia dotyczące tego złośliwego oprogramowania ukrytego w pakiecie Microsoft Office
Jednym z najwyraźniejszych znaków, że coś jest nie tak, jest rozmiar pobieranych plików.. Według firmy Kaspersky niektóre ze złośliwych aplikacji są niezwykle małe, co jest rzadkością w przypadku oprogramowania Microsoft Office, nawet po skompresowaniu. Inne pakiety są natomiast przeładowane bezsensownymi danymi, aby sprawiać wrażenie autentycznej struktury.
Oprogramowanie złośliwe zostało zaprojektowane tak, aby unikać wykrycia. Możesz przeskanować otoczenie urządzenia, aby sprawdzić, czy jest ono już obecne lub czy narzędzia antywirusowe mogą je zidentyfikować. Jeśli wykryje którykolwiek z tych pierwiastków, będzie miał możliwość samozniszczenia, co utrudni ekspertom jego późniejszą analizę.
Do kogo kierowana jest grupa docelowa? Głównie rosyjskojęzyczny
Duża część wykrytych dotychczas zakażeń miała miejsce w Rosji.. Z raportu firmy Kaspersky wynika, że nawet 90% osób, które padły ofiarą tego oszustwa, pochodzi z tego kraju. Szacuje się, że od stycznia do marca tego roku ofiarą oszustwa padło ponad 4.600 użytkowników.
Język interfejsu używany przez atakujących jest również rosyjski, co sugeruje, że to właśnie ta grupa docelowa była głównym celem.. Ponieważ jednak oprogramowanie można rozpowszechniać globalnie za pośrednictwem Internetu, nie można wykluczyć, że w najbliższych miesiącach problem może dotknąć także inne kraje.
Zalecenia, jak uniknąć wpadnięcia w pułapkę tego złośliwego oprogramowania ukrytego w pakiecie Microsoft Office
Pobieranie oprogramowania wyłącznie z oficjalnych źródeł to najskuteczniejszy sposób na ograniczenie ryzyka infekcji.. Kaspersky ostrzega przed korzystaniem z pirackich programów lub alternatywnych stron, które często mają mniej kontroli jakości i wymagań weryfikacyjnych.
Przestępcy wciąż udoskonalają swoje techniki, aby udawać, że ich programy są autentyczne.. Korzystanie z popularnych platform i projektowanie atrakcyjnych interfejsów sprawia, że mniej doświadczeni użytkownicy są szczególnie podatni na ataki.
Coraz większe zagrożenie poza pakietem Office
Ten rodzaj złośliwego oprogramowania nie jest odosobnionym przypadkiem.. Inne firmy z sektora, takie jak Threat Fabric, również poinformowały o pojawieniu się nowych wariantów, które dotykają konkretnie użytkowników systemu Android. Jedna z wykrytych metod polega na wyświetlaniu fałszywych ekranów z prośbą o podanie frazy początkowej portfela, co umożliwia atakującemu przejęcie pełnej kontroli nad cyfrowymi środkami ofiary.
Ciągła dywersyfikacja ataków pokazuje, że przestępcy nie są nastawieni wyłącznie na natychmiastowy zysk. Są również skłonni sprzedać kontrolę nad sprzętem stronom trzecim lub wykorzystać zainfekowaną infrastrukturę w nowych kampaniach przestępczych.
Pomysłowa strategia ukrywanie złośliwego oprogramowania w narzędziach, które wydają się legalne i zawierają pakiet Microsoft Office podkreśla, jak bezbronni mogą być użytkownicy, którzy polegają na nieoficjalnych źródłach. Tego typu ataki, wymierzone głównie w kryptowaluty, wykorzystują brak wiedzy technicznej użytkowników Internetu oraz to, że szukają oni skrótów.
Zawsze zaleca się sprawdzenie źródła oprogramowania przed jego zainstalowaniem i nie ufanie podejrzanym witrynom lub linkom. Udostępnij te informacje, aby więcej użytkowników wiedziało o nowych funkcjach i zagrożeniach, jakie niesie ze sobą to złośliwe oprogramowanie ukryte w pakiecie Microsoft Office.