En ny malwarekampagne retter sig mod brugere, der søger efter hurtige billedredigeringsværktøjer online. Fælden med selfie-baggrundsredigerer bruger en falsk hjemmeside til at narre ofre til at installere malware, der stjæler adgangskoder.
Falsk værktøj designet til at se legitimt ud
Forskere opdagede en ondsindet hjemmeside, der udgiver sig for at være en gratis tjeneste til fjernelse af baggrund. Siden efterligner et ægte redigeringsværktøj med uploadknapper og indlæsningsanimationer.
Værktøjet behandler dog ikke billeder. Dets eneste formål er at få brugere til at udføre handlinger, der kompromitterer deres systemer.
Kampagnen, kendt som BackgroundFix, retter sig mod brugere, der er afhængige af hurtige, browserbaserede værktøjer.
ClickFix-teknikken driver angrebet
Fælden med selfie-baggrundsredigerer bygger på en social engineering-metode kendt som ClickFix. Angrebet starter, når en bruger interagerer med et falsk verifikationstrin, for eksempel ved at klikke på en afkrydsningsboks.
I baggrunden kopierer hjemmesiden en kommando til brugerens udklipsholder. Den viser derefter instruktioner, der opfordrer brugeren til at indsætte og køre den.
Når kommandoen udføres, forbindes enheden til en server kontrolleret af angriberen.
Malware installeres gennem brugerhandling
Dette angreb er ikke afhængigt af sårbarheder i software. I stedet afhænger det af brugerens handlinger.
Når kommandoen er kørt, installerer en loader kaldet CastleLoader yderligere malware. Dette inkluderer et fjernadgangsværktøj og et adgangskodestjælende program kaldet CastleStealer.
Malwaren retter sig mod:
- Gemte browseradgangskoder
- Sessionscookies
- Kryptopungdata
- Sessionsdata fra beskedapps
Dette giver angribere adgang til konti og følsomme oplysninger.
Kampagnen spreder sig på tværs af flere domæner
Forskere identificerede flere domæner med samme opsætning. Dette tyder på, at fælden med selfie-baggrundsredigerer er en del af en større kampagne.
Infrastrukturen gør det muligt for angribere at skalere operationen og nå flere ofre.
Hvorfor metoden er effektiv
Angrebet virker, fordi det fremstår harmløst. Brugere tror, de gennemfører et rutinemæssigt verifikationstrin.
Da offeret selv kører kommandoen, kan traditionelle sikkerhedsløsninger have svært ved at stoppe handlingen.
Denne tilgang flytter ansvaret over på brugeren og gør opdagelse vanskeligere.
Sådan beskytter du dig
Brugere bør undgå hjemmesider, der beder dem om at køre kommandoer manuelt. Legitime onlineværktøjer kræver ikke adgang til systemkommandoer.
For at reducere risikoen:
- Undgå ukendte værktøjer fra søgeresultater eller annoncer
- Kopiér og kør ikke ukendte kommandoer
- Hold systemer og browsere opdaterede
Bevidsthed er afgørende, når man bruger ukendte onlinetjenester.
Konklusion
Fælden med selfie-baggrundsredigerer viser, hvordan angribere fortsætter med at bruge enkle, men effektive metoder. I stedet for at udnytte tekniske svagheder manipulerer de brugere til at kompromittere deres egne enheder.
Efterhånden som disse kampagner vokser, bliver det vigtigt at genkende mistænkelig adfærd. Forsigtig brug af nettet kan forhindre malwareinfektioner og beskytte følsomme data.
0 svar til “Fælde med selfie-baggrundsredigerer stjæler adgangskoder via falsk værktøj”