Знайомтесь: нещодавно в глобальній екосистемі шкідливого ПЗ з’явився новий учасник – StealC. Це malware, яке краде конфіденційну інформацію з ПК та інших пристроїв. Воно може викрадати паролі, дані кредиток, особисті документи та іншу важливу інформацію. StealС поширюється через фішингові e-мейли, заражені веб-сайти або шкідливі вкладення.
Особливості StealC, що роблять його особливо небезпечним
StealC використовує прості методи для крадіжки облікових даних, що робить його доступним навіть для малодосвідчених хакерів. Він спеціально націлений на користувачів Chrome, чи не найпопулярнішого браузера у світі, що збільшує кількість потенційних жертв.
Шкідливе ПЗ може красти облікові дані, збережені в браузері: паролі, дані для входу та іншу конфіденційну інформацію. Завдяки своїй простоті, StealC може швидко отримувати доступ до великої кількості облікових записів.
Дратування – найефективніший спосіб хакнути персональні дані
StealC використовує найпростіший, але при цьому найефективніший метод отримання доступу до персональних даних облікового запису Google: дратує жертву до нестями. Дослідники Open Analysis Lab – платформи, що надає автоматизовані послуги з аналізу шкідливого ПЗ – виявили, що кампанія зі змиву облікових даних використовує цю техніку щонайменше з 22 серпня. Дослідники OALabs підтвердили, що хакери змушують жертву ввести свої облікові дані в браузері, звідки шкідливе ПО може їх викрасти.
Кампанія з викрадення облікових даних, яка використовує StealC, блокує браузер користувача в режимі кіоску, одночасно блокуючи клавіші F11 і ESC, щоб запобігти виходу з повноекранного режиму. Єдине, що відображається на екрані браузера в цьому дратівливому режимі, – це вікно входу, найчастіше для вашого облікового запису Google.
Змивач облікових даних Google не є крадіжкою облікових даних
Змивач облікових даних – credential harvester – шкідливе ПЗ, яке не викрадає облікові дані безпосередньо. Натомість, він створює умови, за яких користувач добровільно вводить свої облікові дані, зазвичай через підроблені веб-сторінки або програми. Після цього активується StealC, який краде паролі з браузера Chrome і передає їх зловмисникам. Ця кампанія можлива завдяки використанню кількох відомих інструментів, таких як Amadey, який завантажує шкідливе ПЗ.
Ось приблизний сценарій атаки:
—Жертва заражається Amadey
— Amadey завантажує змивач облікових даних
—Змивач облікових даних запускає браузер у режимі кіоску.
—Жертва вводить свої дані для входу, які потім викрадаються StealC.
Заходи захисту від загрози StealC
Переконайтеся, що у вас встановлено сучасне антивірусне ПЗ, яке регулярно оновлюється для виявлення нових загроз. Завжди використовуйте останню версію браузера Chrome, оскільки оновлення часто містять виправлення безпеки.
Не залиште шансу фішинговим атакам: не натискайте на підозрілі посилання в і-мейлах або на сайтах, що можуть перенаправити вас на шкідливі ресурси. Використовуйте двофакторну аутентифікацію: увімкніть 2FA для своїх облікових записів Google для додаткового рівня захисту.
Видаляйте непотрібні або підозрілі розширення з браузера, які можуть бути використані для крадіжки даних. Використовуйте складні та унікальні паролі для різних облікових записів і змінюйте їх регулярно.
Новий банківський троян TrickMo з використанням підроблених екранів входу та перехоплювача кодів 2FA
Окрім загрози StealC, користувачам Chrome погрожує інша загроза викрадення облікових даних. Дослідники з групи розвідки загроз компанії Cleafy виявили новий варіант банківського трояна – TrickMo, – який видає себе за додаток для веб-браузера Google Chrome для Android.
Після встановлення шкідливого додатка жертва отримує попередження про необхідність оновлення Google Play та бачить діалогове вікно з кнопкою підтвердження. Насправді ж встановлюється ще один додаток під назвою Google Services, який запитує доступ до дозволів користувача. Додаток допомагає користувачеві пройти через процес, направляючи його увімкнути служби доступності для додатку.
Після цього зловмисники отримують підвищені дозволи, необхідні для перехоплення SMS і будь-яких одноразових кодів двофакторної автентифікації, що передаються таким чином. TrickMo також використовує HTML-атаку з накладанням, яка полягає у відображенні екрану, схожого на справжній логін, для перехоплення облікових даних облікового запису.
Щоб уникнути виявлення шкідливого ПЗ браузерами та пристроями, TrickMo використовує техніку спотворення Zip-архівів. Її суть полягає у створенні каталогів, які мають такі ж назви, як і критичні системні файли. “Ця хитра стратегія може призвести до того, що під час розархівування важливі системні файли будуть перезаписані, що ускладнить подальший аналіз”, — зазначають дослідники. Вони додають, що це також створює труднощі для автоматизованих інструментів аналізу, що використовуються кіберзахисниками, оскільки “неправильна структура архіву може викликати помилки або неповне вилучення файлів, що значно ускладнює процес аналізу”.
Як захиститися від атак кіоск-режиму та TrickMo-атак
На перший погляд, це сізіфова праця, але вийти з режиму кіоску без доступу до більш очевидних клавіш ESC або F11 на клавіатурі все ж можливо.
Користувачам варто спробувати комбінації гарячих клавіш Alt + F4, Ctrl + Shift + Esc, Ctrl + Alt + Delete і Alt + Tab, щоб дістатися до робочого столу і запустити диспетчер завдань, щоб таким чином вбити браузер Chrome. Також можна використати комбінацію клавіш Win + R, щоб відкрити командний рядок Windows, звідки Chrome можна вбити за допомогою “taskkill /IM chrome.exe /F”.
Нарешті, є радикальна альтернатива – вимкнення кнопкою живлення. Якщо ви вирішите скористатися цим методом, не забудьте завантажитися в безпечному режимі, натиснувши клавішу F8, і виконати повну перевірку системи на наявність шкідливого ПЗ, щоб уникнути повторного зараження. Malwarebytes пропонує безкоштовний сканер шкідливих програм, який може допомогти очистити систему.
Щоб уникнути атаки за допомогою останньої версії TrickMo, порада проста: завантажуйте програмне забезпечення для Android виключно з офіційного Play Store.
Як ще зловмисники можуть викрасти ваші персональні дані
Зловмисники використовують безліч методів для отримання доступу до цінних акаунтів Google, ключів до вашої поштової скриньки Gmail та важливих даних, що зберігаються в ній, або до парольної фрази вашого криптогаманця. Наприклад, існує шкідливе програмне забезпечення, яке використовує технологію оптичного розпізнавання символів (OCR) для перехоплення криптопаролів, а також інше ПЗ, що націлене на коди двофакторної автентифікації, обманом змушуючи користувачів надавати дозвіл на читання SMS-повідомлень. Але це вже тема для окремої розмови.
Тетяна Морараш
