Μια νέα σοβαρή απειλή φαίνεται πως αρχίζει και εξαπλώνεται στο διαδίκτυο. Η σοβαρότητα του ιού έγκειται στο γεγονός ότι μιμείται αναδυόμενα μηνύματα πασίγνωστων προγραμμάτων που βρίσκονται εγκατεστημένα στην πλειοψηφία των συσκευών μας, όπως το Google Chrome ή το Microsoft Office. Σκοπός των παραπάνω μηνυμάτων είναι να μας “πείσουν” να εγκαταστήσουμε το κακόβουλο λογισμικό στη συσκευή μας.
Σύμφωνα με έρευνα της Proofpoint, υπήρξε μια μεγάλη αύξηση των Self-Pwn επιθέσεων, ενώ πολλοί χρήστες έχουν εξαπατηθεί από τις ψεύτικες ειδοποιήσεις. Η Proofpoint στην καμπάνια της αναφέρεται σε τρεις ομάδες επιθέσεων και συγκεκριμένα τις ClearFake, TA571 και ClickFix. Ο σκοπός των επιθέσεων είναι να εκτελεσθούν κακόβουλες εντολές μέσω PowerShell με τη συγκατάθεση του ίδιου του χρήστη. Κρίνεται χρήσιμο να αναφερθεί πως η TA571 είναι διαβόητη για τη διανομή ανεπιθύμητων μηνυμάτων που οδηγούν σε μολύνσεις από κακόβουλο λογισμικό και σε ransomware.
Οι επιθέσεις ClearFake δεν αποτελούν παραδοσιακές προσπάθειες μόλυνσης συστημάτων. Έχουν την όψη των κλασικών μηνυμάτων γνωστών προγραμμάτων που μας καλούν να εγκαταστήσουμε ή να προβούμε σε αναβάθμιση (update) εργαλείων. Στις νέες επιθέσεις, οι επιτήδειοι χρησιμοποιούν “μολυσμένο κώδικα” και ψεύτικα μηνύματα σφάλματος, ώστε ο χρήστης να αντιγράψει τον κώδικα και να εκτελέσει “fixes” μέσω PowerShell. Ομοίως, οι TA571 και ClickFix έχουν παρόμοια λογική και υλοποίηση.
Όπως γίνεται αντιληπτό, σε καμία περίπτωση δε θα πρέπει να εκτελέσετε καμία PowerShell εντολή αν σας εμφανιστεί κάποιο μήνυμα σφάλματος ή οτιδήποτε άλλο. Επιπλέον, θα πρέπει να είμαστε ιδιαιτέρως προσεκτικοί με τα συνημμένα έγγραφα που κατεβάζουμε στη συσκευή μας από τα e-mails μας. Η Proofpoint συμπεραίνει πως οι επιθέσεις προϋποθέτουν την αλληλεπίδραση του χρήστη, για είναι επιτυχείς. Επιπλέον, η εμφάνιση των μηνυμάτων ως ειδοποιήσεις του λειτουργικού συστήματος είναι αρκετά έξυπνη, καθώς μπορεί να ξεγελάσει το χρήστη. Επίσης, δεν παρέχουν μόνο το υποτιθέμενο “σφάλμα”, αλλά, και τη λύση, ώστε ο χρήστης να λάβει αμέσως δράση για την επίλυσή του. Η Proofpoint επιστεί την προσοχή, καθώς τονίζει πως οι επιθέσεις θα συνεχίσουν να αυξάνονται, ενώ οι επιτήδειοι θα γίνονται όλο και πιο δημιουργικοί, δημιουργώντας ακόμα πιο αληθοφανή “σφάλματα”, ώστε να βελτιώσουν τις πιθανότητες μόλυνσης συσκευών. Η έρευνα της Proofpoint περιέχει ακόμα περισσότερες πληροφορίες σχετικά με τις επιθέσεις και τα χαρακτηριστικά που τις διέπουν και αξίζει να μελετηθεί από όλους.
Πηγή:
https://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn
Ονομάζομαι Ραφαήλ Αδαμίδης και είμαι απόφοιτος του τμήματος Ιστορίας και Εθνολογίας του Δημοκριτείου Πανεπιστημίου Θράκης, καθώς και του Μεταπτυχιακού Προγράμματος της Εγκληματολογίας του Πανεπιστημίου Λευκωσίας. Είμαι εθελοντής αρθρογράφος στο Διεθνές Ινστιτούτο Κυβερνοασφάλειας (CSI Institute).