03/09/2019

Studencka niespodzianka: szkodliwe oprogramowanie jako podręczniki i wypracowania

Zagrożenia

Opisywaliśmy już wiele sytuacji, w których można przypadkowo otrzymać coś nieprzyjemnego, próbując pobrać np. popularny serial telewizyjny lub dodatki do gier. Jednak cyberprzestępcy nie ograniczają się tylko do produktów rozrywkowych. Poszukując materiałów związanych z pracą lub nauką, możesz także natknąć się na wirusy. Należy o tym pamiętać zwłaszcza wtedy, gdy rozpoczyna się rok akademicki. Wysoki koszt podręczników oraz innych materiałów dla uczniów i studentów często skutkuje tym, że wiele osób poszukuje tańszych lub nawet darmowych alternatyw w internecie.

Pobierz wypracowanie i weź w pakiecie szkodliwy program

Postanowiliśmy sprawdzić, jak często można natknąć się na szkodliwą zawartość, przeglądając darmowe materiały. W tym celu sprawdziliśmy, ile infekcji zidentyfikowały rozwiązania firmy Kaspersky w plikach, których nazwy były powiązane ze szkołą i studiami. Efekty są zaskakujące!

Jak się okazuje, ogólnie w zeszłym roku akademickim cyberprzestępcy, którzy atakowali obszar edukacji, próbowali zaatakować naszych użytkowników ponad 356 tys. razy. W tej grupie 233 tysiące stanowiły szkodliwe wypracowania, które zostały pobrane na komputery ponad 74 tys. osób i które zostały zablokowane przez nasze rozwiązania.

Około jedną trzecią takich plików stanowiły podręczniki: było ich aż 122 tys. Ponad 30 tys. użytkowników próbowało je otworzyć.

Wśród uczniów najpopularniejsze były podręczniki w języku angielskim ukrywające szkodliwe programy: liczba ich pobrań sięgnęła 2 080. Na drugim miejscu znalazły się rzekome podręczniki do matematyki, które próbowały zainfekować komputery 1 213 studentów. Literatura zamyka pierwszą trójkę przedmiotów związanych z największym ryzykiem: potencjalnych ofiar było tu aż 870.

Przestępcy atakowali również mniej popularne przedmioty. Natknęliśmy się na szkodliwy program ukrywający się pod postacią podręczników z dziedziny nauk przyrodniczych (18 użytkowników próbowało je pobrać) i w mniej popularnych — służących do nauki języków obcych, zarówno dla szkół podstawowych, średnich, jak i studiów licencjackich.

Jakie szkodliwe programy są rozprzestrzeniane jako podręczniki i wypracowania?

Jeśli podczas poszukiwania materiałów do nauki trafisz na pozbawioną skrupułów stronę internetową i spróbujesz z niej coś pobrać, możesz otrzymać jakiś paskudny szkodliwy program. W ten sposób dystrybuowana jest najczęściej pewna grupa zagrożeń. Oto cztery najpopularniejsze rodzaje szkodliwych programów, które są najczęściej rozprzestrzeniane pod postacią materiałów do nauki.

Miejsce 4. Narzędzie MediaGet do pobierania aplikacji torrentowych

Strony zawierające podręczniki, które są pełne kuszących przycisków z napisem „Pobierz za darmo”, często dają użytkownikom narzędzie MediaGet służące do pobierania zamiast poszukiwanego dokumentu. To najbardziej nieszkodliwa niespodziana, która czeka na uczniów szkół podstawowych, średnich i studentów poszukujących zasobów edukacyjnych. Wspomniane narzędzie pobiera klienta torrentów, którego użytkownik nie potrzebuje.

Miejsce 3. Narzędzie WinLNK.Agent.gen pobierające kolejne programy

Szkodliwe programy lubią ukrywać się w archiwach, ponieważ zagrożenie znacznie trudniej jest wykryć, gdy znajduje się w pliku z rozszerzeniem zip lub rar. Technika ta jest używana na przykład przez narzędzie WinLNK.Agent.gen, na które łatwo trafić, poszukując podręczników i wypracowań. Archiwum zawiera skrót do pliku tekstowego, który nie tylko otwiera ten dokument, ale uruchamia także komponenty załączonego szkodliwego programu.

Te z kolei mogą pobrać na urządzenie inną infekcję. Z reguły są to programy służące do potajemnego generowania kryptowalut na rzecz swoich właścicieli, z wykorzystaniem zasobów czyjegoś urządzenia. W efekcie działanie komputera i jakość połączenia z internetem są znacznie gorsze, a rachunki za energię elektryczną rosną. Program typu adware może również wyświetlać nachalne oferty reklamowe, których nie można zamknąć. Ponadto taki szkodliwy program może pobrać inne niechciane programy.

Miejsce 2. Narzędzie Win32.Agent.ifdx pobierające kolejne szkodliwe programy

Istnieje też narzędzie, które często jest ukrywane pod postacią podręczników i wypracowań w plikach w formacie DOC, DOCX lub PDF. Mimo tego, że udaje dokument ze stosowną ikoną, w rzeczywistości jest programem. Co więcej, po uruchomieniu otwiera także plik tekstowy, aby ofiara nie zorientowała się, że dzieje się coś podejrzanego. Jednak jego głównym celem jest pobranie na komputer ofiary wszelkiej maści niepożądanych programów.

Ostatnio takie szkodliwe oprogramowanie pobiera najczęściej różne narzędzia do generowania kryptowalut. Należy tu przypomnieć, że osoby dystrybuujące szkodliwe oprogramowanie mogą zmienić ich przeznaczenie. Mogą dowolnie zmodyfikować szkodliwe oprogramowanie tak, aby zamiast narzędzi do generowania kryptowalut pobierało na urządzenie oprogramowanie szpiegowskie, trojany bankowe kradnące dane związane z kartami płatniczymi oraz z kont internetowych w bankach czy sklepach, a nawet ransomware.

Miejsce 1. Spamowanie w szkole przy użyciu robaka Stalk

Infekcję można złapać również bez konieczności odwiedzania wątpliwych stron. Szkodliwe podręczniki i wypracowania dystrybuują także spamerzy. To lubiana przez nich metoda, za pośrednictwem której rozprzestrzeniają na przykład robaka Worm.Win32 Stalk.a. Chociaż istnieje on już od jakiegoś czasu, wcześniej myśleliśmy, że wypadł z użycia. Ku naszemu zaskoczeniu, jest on nie tylko aktywnie używany, ale jest teraz „edukacyjnym” szkodliwym programem z największą liczbą ofiar.

Po przedostaniu się na komputer Stalk przenosi się na wszystkie urządzenia, które są z nim połączone. Na przykład może zainfekować inne komputery w sieci lokalnej lub pendrive USB zawierający materiały edukacyjne. Gdy ofiara będzie chciała wydrukować wypracowanie przy użyciu zasobów szkoły czy uczelni z takiego pendrive’a, robak przedostanie się do sieci placówki edukacyjnej.

Jednak to nie wszystko. Aby zainfekować jak najwięcej systemów, wspomniany szkodnik wysyła siebie pocztą e-mail do kontaktów w imieniu właściciela sprzętu. W takich okolicznościach jest duża szansa na to, że koledzy uznają taką wiadomość za bezpieczną i otworzą załączoną szkodliwą aplikację.

Stalk jest niebezpieczny nie tylko dlatego, że potrafi rozprzestrzeniać się za pośrednictwem sieci lokalnej i poczty e-mail. Może on także pobrać na zainfekowane urządzenie inne szkodliwe aplikacje oraz ukradkiem skopiować i wysłać pliki z Twojego komputera do właścicieli szkodliwego programu.

Robak Stalk nadal istnieje prawdopodobnie dlatego, że ogólnie instytucje edukacyjne, a zwłaszcza ich systemy drukarek, często używają beznadziejnie przestarzałych wersji systemów operacyjnych i innych szkodliwych programów. Dzięki temu robak może się rozprzestrzeniać.

Jak zapewnić sobie bezpieczeństwo przed szkodliwymi „podręcznikami” i „wypracowaniami”

Jak widać, poszukiwanie materiałów edukacyjnych w internecie może prowadzić do nieprzyjemnych konsekwencji. Aby uniknąć infekcji:

  • W razie możliwości potrzebnych książek szukaj w bibliotece fizycznej lub internetowej.
  • Zawsze zwracaj uwagę na to, na jakiej stronie znajduje się podręcznik, który masz zamiar pobrać. Nie odwiedzaj wątpliwych zasobów, na których wiele jest kolorowych migających przycisków z napisem „Pobierz” lub które wymagają od Ciebie zainstalowania najpierw narzędzia do pobierania.
  • Nie używaj przestarzałych wersji systemów operacyjnych i innych szkodliwych programów. Wszelkie aktualizacje oprogramowania instaluj na bieżąco.
  • Z dystansem traktuj załączniki pocztowe, w tym te, które zostały wysłane przez znajomych. Jeśli ktoś nagle wyśle Ci wypracowanie, o które nie prosiłeś, zachowaj ostrożność.
  • Zwracaj uwagę na rozszerzenia pobieranych plików. Jeśli zamiast dokumentu został pobrany plik z rozszerzeniem EXE, nie otwieraj go.
  • Korzystaj z niezawodnego programu zabezpieczającego. Na przykład Kaspersky Internet Security rozpoznaje nie tylko zagrożenia opisane w tym artykule, ale także wiele innych. W efekcie skutecznie zabezpiecza każdy komputer.