Nevidljivi zlonamjerni softver u novom phishing napadu: Krade lozinke, podatke o kreditnim karticama i više od toga
Barracuda Networks je nedavno otkrila sofisticirani phishing napad u kojem se koristi nevidljivi zlonamjerni softver dizajniran za krađu širokog spektra osjetljivih podataka.
Ovaj napredni malver cilja i eksfiltrira informacije poput sačuvanih lozinki, sesijskih kolačića, podataka o kreditnim karticama, ekstenzija vezanih za Bitkoin i istorije pretrage. Ukradeni podaci se zatim šalju kao prilog na određenu e-mail adresu, što otežava njihovo otkrivanje.
Detalji phishing napada
Prema sigurnosnom upozorenju kompanije Barracuda Networks, napad počinje sa phishing e-mailom dizajniranim da prevari primaoce da otvore priloženi fajl, koji je prikazan kao dokument vezan za kupovinu. Ovi phishing e-mailovi često sadrže gramatičke greške i šalju se sa lažne e-mail adrese. Prilog je ISO fajl, digitalna replika podataka koji se obično nalaze na CD-ovima ili DVD-ovima. Unutar ovog ISO fajla nalazi se HTA (HTML aplikacija) fajl, koji omogućava aplikaciji da zaobiđe standardna sigurnosna ograničenja web pretraživača.
Kako malver funkcioniše
Nakon što se HTA fajl pokrene, malver započinje napad. Proces počinje preuzimanjem i pokretanjem JavaScript fajla sa udaljenog servera, koji zatim aktivira PowerShell skriptu. Ova skripta preuzima ZIP fajl sa istog servera, u kojem je sakriven zlonamjerni softver za krađu informacija.
Malver je dizajniran da kratko radi, efikasno prikupljajući podatke prije nego što izbriše sve povezane fajlove, uključujući i samog sebe, kako bi izbjegao otkrivanje od strane antivirusnog softvera.
Vrste podataka koje cilja
Ovaj phishing napad je posebno opasan zbog raznolikosti podataka koje cilja. Malver ekstrahuje MasterKeys iz popularnih pretraživača poput Google Chrome, Microsoft Edge, Yandex i Brave. Takođe bilježi sesijske kolačiće, sačuvane lozinke, podatke o kreditnim karticama i istoriju pretrage. Osim toga, malver kopira podatke iz ekstenzija pretraživača vezanih za Bitkoin, uključujući MetaMask i Coinbase Wallet.
Pored podataka iz pretraživača, malver takođe krade PDF fajlove i kompresuje cijele foldere, uključujući one na radnoj površini, u direktorijumima Downloads i Documents, kao i određene foldere %AppData%. Ukradeni podaci se zatim šalju putem e-maila na različite adrese pod maternamedical.top domenom, a svaka adresa je namijenjena određenoj vrsti informacija, kao što su kolačići, PDF fajlovi i ekstenzije pretraživača.
Kako se zaštititi od phishing napada
Kako phishing napadi postaju sve sofisticiraniji, važno je ostati oprezan. Uvijek dvaput provjerite e-mail adrese, izbjegavajte otvaranje neočekivanih priloga i koristite pouzdan antivirusni softver za skeniranje zlonamjernih softvera. Redovno ažuriranje softvera i korišćenje višefaktorske autentifikacije također može pomoći u zaštiti vaših osjetljivih podataka od ovakvih napada.
(IT mixer)
