En ny malwarekampanj riktar sig mot användare som söker snabba bildredigeringsverktyg online. Fällan med selfie-bakgrundsredigerare använder en falsk webbplats för att lura offer att installera skadlig kod som stjäl lösenord.
Falskt verktyg utformat för att se legitimt ut
Forskare upptäckte en skadlig webbplats som utger sig för att vara en gratis tjänst för att ta bort bakgrunder. Sidan efterliknar ett riktigt redigeringsverktyg, komplett med uppladdningsknappar och laddningsanimationer.
Verktyget bearbetar dock inga bilder. Dess enda syfte är att få användare att utföra handlingar som komprometterar deras system.
Kampanjen, som kallas BackgroundFix, riktar sig mot användare som förlitar sig på snabba, webbläsarbaserade verktyg.
ClickFix-tekniken driver attacken
Fällan med selfie-bakgrundsredigerare bygger på en social engineering-metod som kallas ClickFix. Attacken startar när en användare interagerar med ett falskt verifieringssteg, till exempel genom att klicka på en kryssruta.
I bakgrunden kopierar webbplatsen ett kommando till användarens urklipp. Den visar sedan instruktioner som uppmanar användaren att klistra in och köra det.
När kommandot körs ansluts enheten till en server som kontrolleras av angriparen.
Skadlig kod installeras genom användarens handling
Denna attack bygger inte på sårbarheter i programvara. I stället är den beroende av användarens agerande.
När kommandot har körts installerar en loader kallad CastleLoader ytterligare skadlig kod. Detta inkluderar ett fjärrstyrningsverktyg och ett lösenordsstjälande program kallat CastleStealer.
Den skadliga koden riktar sig mot:
- Sparade webbläsarlösenord
- Sessionscookies
- Kryptoplånboksdata
- Meddelandeappsessioner
Detta gör det möjligt för angripare att få tillgång till konton och känslig information.
Kampanjen sprids över flera domäner
Forskare identifierade flera domäner som använder samma upplägg. Detta tyder på att fällan med selfie-bakgrundsredigerare är en del av en större kampanj.
Infrastrukturen gör det möjligt för angripare att skala upp operationen och nå fler offer.
Varför metoden är effektiv
Attacken fungerar eftersom den ser harmlös ut. Användare tror att de genomför ett rutinmässigt verifieringssteg.
Eftersom offret själv kör kommandot kanske traditionella säkerhetslösningar inte hinner stoppa handlingen.
Detta tillvägagångssätt flyttar ansvaret till användaren och gör upptäckt svårare.
Så skyddar du dig
Användare bör undvika webbplatser som ber dem att köra kommandon manuellt. Legitima onlineverktyg kräver inte åtkomst till systemkommandon.
För att minska risken:
- Undvik okända verktyg från sökresultat eller annonser
- Kopiera och kör inte okända kommandon
- Håll system och webbläsare uppdaterade
Medvetenhet är avgörande när du använder okända onlinetjänster.
Slutsats
Fällan med selfie-bakgrundsredigerare visar hur angripare fortsätter att använda enkla men effektiva metoder. I stället för att utnyttja tekniska brister manipulerar de användare att kompromettera sina egna enheter.
I takt med att dessa kampanjer växer blir det allt viktigare att känna igen misstänkt beteende. Försiktig surfning kan förhindra malwareinfektioner och skydda känslig data.
0 svar till ”Fälla med selfie-bakgrundsredigerare stjäl lösenord via falskt verktyg”