Google Meet, Zoom i Skype to kolejne narzędzie w rękach cyberprzestepców. Zwracaj szczególną uwagę na to, skąd ściągasz te programy.
Od grudnia 2023 roku oszuści wykorzystują starą sztuczkę, przygotowaną do nowych okoliczności. Przygotowali fałszywe strony reklamowe, z których można pobrać programy do prowadzenia telekonferencji. Za pośrednictwem tych stron rozprowadzają szkodliwe oprogramowanie dla systemów Windows i Android. Konkretnie są to trojany umożliwiające zdalny dostęp do urządzenia (RAT), takie jak SpyNote dla Androida, NjRAT i DCRat dla Windowsa.
Strony te są bardzo dobrze przygotowane. Nie dość, że do złudzenia przypominają strony oryginalne, to jeszcze zostały umieszczone pod domenami do złudzenia przypominającymi te prawdziwe. Cyberprzestępcy wykorzystują ludzką skłonność do pomyłek przy pisaniu. Dla użytkownika z Polski sygnałem ostrzegawczym może być fakt, że fałszywe strony zostały przygotowane w języku rosyjskim. Niemniej wielu może to nie odstraszyć.
Kliknięcie przycisku pobierania ściągnie na telefon plik APK ze złośliwą aplikacją, a na komputer z systemem Windows – plik wsadowy BAT, który uruchomi skrypt PowerShell, służący do ściągnięcia właściwego trojana. Użytkownicy systemu iOS nie są najwyraźniej celem tego ataku, bo ich strona przenosi do pobrania prawdziwego komunikatora z AppStore.
Czym grozi infekcja RAT-em? Oprogramowanie tego typu może rejestrować wpisany tekst, wykradać pliki i przyjmować różne polecenia z „centrali”. Zagrożone są więc nie tylko prywatne dokumenty, ale też hasła i komunikacja. Warto przypomnieć, że SpyNote dla Androida jest w stanie także wyczyścić konto ofiary, jeśli zostanie odpowiednio użyty. Opisana wyżej kampania kierowana jest do użytkowników mówiących po rosyjsku, ale warto mieć się na baczności bez względu na język ojczysty.
Źródło zdjęć: Tada Images / Shutterstock, Zscaler ThreatLabz
Źródło tekstu: Zscaler ThreatLabz, The Hacker News
