En ny malwarekampanje retter seg mot brukere som søker etter raske bilderedigeringsverktøy på nett. Fellen med selfie-bakgrunnsredigerer bruker en falsk nettside for å lure ofre til å installere skadevare som stjeler passord.
Falskt verktøy utformet for å se legitimt ut
Forskere oppdaget en ondsinnet nettside som utgir seg for å være en gratis tjeneste for bakgrunnsfjerning. Siden etterligner et ekte redigeringsverktøy, med opplastingsknapper og lasteanimasjoner.
Verktøyet behandler imidlertid ikke bilder. Dets eneste formål er å få brukere til å utføre handlinger som kompromitterer systemene deres.
Kampanjen, kjent som BackgroundFix, retter seg mot brukere som er avhengige av raske, nettleserbaserte verktøy.
ClickFix-teknikken driver angrepet
Fellen med selfie-bakgrunnsredigerer bygger på en sosial manipuleringsteknikk kjent som ClickFix. Angrepet starter når en bruker samhandler med et falskt verifiseringstrinn, for eksempel ved å klikke på en avkrysningsboks.
I bakgrunnen kopierer nettsiden en kommando til brukerens utklippstavle. Den viser deretter instruksjoner som oppfordrer brukeren til å lime inn og kjøre den.
Når kommandoen kjøres, kobles enheten til en server kontrollert av angriperen.
Skadevare installeres gjennom brukerhandling
Dette angrepet er ikke avhengig av programvaresårbarheter. I stedet er det basert på brukerens handlinger.
Når kommandoen er kjørt, installerer en laster kalt CastleLoader ytterligere skadevare. Dette inkluderer et fjernstyringsverktøy og et passordstjelende program kalt CastleStealer.
Skadevaren retter seg mot:
- Lagrede nettleserpassord
- Øktcookies
- Kryptolommebokdata
- Meldingsappøkter
Dette gjør det mulig for angripere å få tilgang til kontoer og sensitiv informasjon.
Kampanjen utvides på tvers av flere domener
Forskere identifiserte flere domener som bruker samme oppsett. Dette tyder på at fellen med selfie-bakgrunnsredigerer er en del av en større kampanje.
Infrastrukturen gjør det mulig for angripere å skalere operasjonen og nå flere ofre.
Hvorfor metoden er effektiv
Angrepet fungerer fordi det fremstår som harmløst. Brukere tror de gjennomfører et rutinemessig verifiseringstrinn.
Siden offeret selv kjører kommandoen, kan tradisjonelle sikkerhetsløsninger ha vanskelig for å stoppe handlingen.
Denne tilnærmingen flytter ansvaret over på brukeren og gjør oppdagelse vanskeligere.
Slik beskytter du deg
Brukere bør unngå nettsider som ber dem kjøre kommandoer manuelt. Legitime nettbaserte verktøy krever ikke tilgang til systemkommandoer.
For å redusere risikoen:
- Unngå ukjente verktøy fra søkeresultater eller annonser
- Ikke kopier og kjør ukjente kommandoer
- Hold systemer og nettlesere oppdatert
Bevissthet er avgjørende når man bruker ukjente nettjenester.
Konklusjon
Fellen med selfie-bakgrunnsredigerer viser hvordan angripere fortsetter å bruke enkle, men effektive metoder. I stedet for å utnytte tekniske svakheter manipulerer de brukere til å kompromittere sine egne enheter.
Etter hvert som slike kampanjer vokser, blir det viktigere å gjenkjenne mistenkelig atferd. Forsiktig nettbruk kan forhindre skadevareinfeksjoner og beskytte sensitiv data.
0 svar til “Felle med selfie-bakgrunnsredigerer stjeler passord via falskt verktøy”