Az online biztonság területén folyamatosan újabb és újabb fenyegetések jelennek meg, amelyek egyre kifinomultabb módszerekkel próbálják megfertőzni a felhasználók számítógépeit. Egy friss jelentés szerint két különálló, de hasonló technikákat alkalmazó kampány is aktív, amelyek elsősorban Windows és macOS rendszereket céloznak meg. Ezek a támadások különösen veszélyesek, mert megbízható forrásokra – például ismert szállásfoglaló oldalakra – hivatkozva csalják ki az áldozatok bizalmát.
A hotelfoglalási fiókok kompromittálása – az első lépés a támadásban
A Sekoia által dokumentált egyik kampány során a támadók először egy szálloda Booking.com vagy más online utazási szolgáltatásban vezetett fiókját törik fel. Ez az első lépés kulcsfontosságú, hiszen innen szerzik meg azokat az adatokat, amelyek segítségével később közvetlenül a foglalással rendelkező ügyfeleket keresik meg.
Az áldozatokkal való kapcsolatfelvétel során a csalók olyan információkat használnak fel, amelyek hitelességet kölcsönöznek nekik. Például értesítik a felhasználókat függőben lévő foglalásaikról, így az emberek nagyobb hajlandósággal követik az utasításokat, nehogy elveszítsék szállásukat.
A hamis CAPTCHA értesítés – megtévesztő biztonsági ellenőrzés
Az egyik legérdekesebb eleme ennek a támadásnak egy hamis CAPTCHA értesítés megjelenítése, amely szinte tökéletesen utánozza a Cloudflare tartalomszolgáltató hálózat által használt hitelesítő képernyőt. A cél itt nem csupán az emberi jelenlét igazolása, hanem hogy a felhasználót rávegyék egy speciális művelet elvégzésére.
A hamis CAPTCHA arra kéri az áldozatot, hogy másoljon ki egy adott szövegsorozatot, majd illessze be azt a Windows terminálba. Ez az egyszerűnek tűnő lépés azonban valójában egy kártevő telepítését indítja el a gépen. A fertőzés során a PureRAT nevű malware kerül be a rendszerbe, amely komoly veszélyt jelenthet az adatbiztonságra.
ClickFix kampány – több platformot is érintő fenyegetés
Ezzel párhuzamosan a Push Security által jelentett ClickFix kampány is aktív, amely egy dinamikusan alkalmazkodó weboldalt használ. Ez az oldal automatikusan felismeri a látogató eszközének operációs rendszerét (Windows vagy macOS), és ennek megfelelően juttatja el hozzá a káros kódot.
Microsoft szakértők szerint ezeknek a payloadoknak jelentős része úgynevezett LOLbins (Living Off the Land Binaries), vagyis olyan natív operációs rendszer eszközökön alapuló binárisokból állnak, amelyek segítségével nem kell külső rosszindulatú fájlokat lemezre írni. Ez jelentősen megnehezíti az endpoint védelem dolgát, hiszen nincs hagyományos értelemben vett fertőző fájl, amit felismerhetnének.
A böngésző sandbox kihasználása és rejtett parancsok
A támadók gyakran base64 kódolt parancsokat használnak, hogy elrejtsék azok valódi tartalmát az emberi szem elől. Ezeket a parancsokat jellemzően a böngészők sandbox környezetében futtatják le – ez egy izolált részleg, amelyet eredetileg arra terveztek, hogy megvédje az eszközt a káros szoftverektől és scriptektől.
Sajnos sok biztonsági eszköz nem képes megfelelően monitorozni vagy jelölni ezeket az aktivitásokat potenciálisan veszélyesként, így ezek a támadások könnyebben átcsúszhatnak az ellenőrzéseken.
A tudatosság hiánya – miért hatékonyak ezek a támadások?
Sok felhasználó évek alatt megtanulta már gyanakvással kezelni az e-mailekben vagy üzenetküldőkben érkező linkeket. Azonban kevesen vannak tisztában vele, hogy mennyire veszélyes lehet például egy weboldal által adott utasítás követése is – például amikor arra kérik őket, hogy másoljanak ki egy szöveget és illesszék be azt egy ismeretlen ablakba.
Ha mindez ráadásul egy ismert szálloda nevében érkezik e-mailben vagy jelenik meg egy Google keresési találat élén, akkor még inkább meglepheti és megtévesztheti az áldozatot.
Védekezési tippek – hogyan óvhatjuk meg magunkat?
- Legyünk óvatosak: Ne kövessünk elhamarkodottan olyan utasításokat, amelyek idegen forrásból érkeznek, még akkor sem, ha azok hivatalosnak tűnnek.
- Ne illesszünk be ismeretlen parancsokat: Soha ne másoljunk be semmilyen szöveget terminálba vagy parancssorba anélkül, hogy teljesen biztosak lennénk annak eredetében és céljában.
- Használjunk naprakész védelem: Telepítsünk megbízható vírusirtó és endpoint védelmi programokat (például Microsoft Defender), de ne hagyatkozzunk kizárólag ezekre.
- Tartsuk naprakészen rendszereinket: Rendszeresen frissítsük operációs rendszerünket és alkalmazásainkat, hogy minimalizáljuk a sebezhetőségeket.
- Tájékoztassuk családtagjainkat: Különösen ünnepi időszakokban érdemes beszélni szeretteinkkel ezekről a fenyegetésekről, hiszen ilyenkor többen keresnek utazási lehetőségeket online.
Összegzés
A ClickFix és PureRAT kampányok jól mutatják, hogy milyen kreatív és alattomos módszerekkel próbálnak meg kártékony szereplők hozzáférést szerezni számítógépeinkhez. A hotelfoglalási fiókok kompromittálása után közvetlenül az áldozatok bizalmára építenek, majd hamis biztonsági ellenőrzésekkel fertőzik meg gépeiket. Mivel ezek a támadások gyakran rejtve maradnak még fejlett védelmi rendszerek előtt is, jelenleg a legjobb védekezés maga az informáltság és körültekintés.
