socjotechnika
Cyberprzestępcy często wybierają na swój cel bardzo małe firmy, ponieważ rzadko poświęcają one większe kwoty na systemy zabezpieczające, a zwykle nie zatrudniają nawet specjalisty ds. IT. Co równie ważne, najczęściej korzystają z jednego lub dwóch komputerów, co ułatwia wybór celu, na którym przechowywane są wszelkiego rodzaju informacje, na które zwykle polują cyberprzestępcy. Ostatnio nasze technologie wykryły inny atak wymierzony w małe sklepy internetowe. Przy użyciu metod socjotechniki atakujący próbowali zmusić właścicieli takich firm do uruchomienia na ich komputerach szkodliwych skryptów.
Socjotechnika
Najbardziej interesującym aspektem w tym ataku jest sztuczka, przy pomocy której atakujący próbują nakłonić pracownika sklepu do pobrania i otwarcia szkodliwego pliku. Wysyłają oni wiadomość, która rzekomo pochodzi od klienta, który opłacił zamówienie, ale go nie otrzymał. Z wiadomości można się dowiedzieć, że ma on jakiś problem z pocztą i prosi sklep o uzupełnienie dokumentu dodatkowymi danymi (informacje o nadawcy, numer umożliwiający śledzenie itp.). Czy porządny biznesmen zignorowałby taką wiadomość?
Wiadomość, choć napisana w nieidealnym, ale zrozumiałym języku angielskim, zawiera łącze do obiektu przechowywanego w Dokumentach Google. Po kliknięciu łącza rozpoczyna się pobieranie archiwum, które oczywiście zawiera szkodliwy plik — w tym przypadku z rozszerzeniem XLSX.
Z technicznego punktu widzenia
Atak ten jest prosty, ale skuteczny. Po pierwsze, wiadomość nie jest wysyłana masowo — tekst wiadomości jest napisany z myślą o sklepach internetowych i najprawdopodobniej został wysłany na odpowiednie adresy. Po drugie, nie zawiera szkodliwych elementów, lecz kilka zdań i łącze do legalnej usługi. Automatyczne filtry poczty raczej nie zablokują takiej wiadomości. Nie jest ona spamem ani phishingiem, i co ważniejsze, nie zawiera szkodliwych załączników.
Plik w formacie XLSX zawiera skrypt, który pobiera i uruchamia plik wykonywalny z serwisu zdalnego — trojana bankowego DanaBot, znanego w naszych systemach od maja 2018 r. Ten szkodliwy program ma strukturę modułową i potrafi pobierać dodatkowe wtyczki, dzięki którym może przechwytywać ruch, kraść hasła, a nawet portfele kryptowalut. Na chwilę pisania tego tekstu (według statystyk dla trzeciego kwartału 2019 r.) znajduje się on wśród 10 najpopularniejszych rodzin szkodliwego oprogramowania bankowego.
Zamierzonym celem tego ataku były bardzo małe sklepy, zatem najprawdopodobniej zainfekowany komputer, z którego pracownik odczytał wiadomość, jest najważniejszy do operacji bankowych. Innymi słowy zawiera on informacje, których poszukują atakujący.
Jak zapewnić sobie bezpieczeństwo
Po pierwsze, wszystkie komputery potrzebują skutecznego programu zabezpieczającego. Nasze technologie ochronne nie tylko rozpoznają zagrożenie DanaBot (jako Trojan-Banker.Win32.Danabot), ale także rejestrują skrypty, które pobiera ten trojan, na podstawie werdyktu heurystyki HEUR:Trojan.Script.Generic. Dlatego komputer, na którym zainstalowane jest rozwiązanie marki Kaspersky, potrafi zatrzymać taki atak, zanim trafi na niego trojan.
Po drugie, dobrym zwyczajem jest regularne aktualizowanie powszechnie używanych programów. Aktualizacje systemu operacyjnego i pakietów biurowych powinny mieć największy priorytet. Atakujący często wykorzystują luki w takich programach, aby przemycać szkodliwe programy.
Wszystkim małym firmom zalecamy używanie rozwiązania Kaspersky Small Office Security. Nie wymaga ono żadnych specjalnych umiejętności zarządzania, zapewnia skuteczną ochronę przed trojanami i sprawdza wersje popularnych aplikacji innych firm.
Porady