האקרים אוהבים לרמות את הקורבנות שלהם לעשות דברים שהם לא היו עושים אחרת, ומסע פרסום חדש של תוכנות זדוניות שעושה כעת את הסיבובים באינטרנט הוא הדוגמה המושלמת לכך.
כפי שדווח על ידי BleepingComputer, האקרים משתמשים בשגיאות מזויפות של Google Chrome, Microsoft Word ו-Microsoft OneDrive כדי להערים על קורבנות פוטנציאליים להפעיל "תיקוני PowerShell" זדוניים המתקינים למעשה תוכנות זדוניות.
הקמפיין המסוים הזה כל כך יעיל עד שקבוצות האקרים מרובות (כולל אלה שמאחורי ClearFake, קבוצה חדשה בשם ClickFix וקבוצת TA571) משתמשות בו בהתקפות שלהם.
הנה כל מה שאתה צריך לדעת על מסע הפרסום החדש הזה של תוכנות זדוניות, וכיצד תוכל להימנע מנפילה קורבן להנדסה החברתית שהוא משתמש בו כדי לגרום לך להדביק את מחשב Windows משלך בתוכנה זדונית.
מתיקון לכשל
בדיוק כמו בקמפיינים קודמים של ClearFake, החדש הזה משתמש בשכבות-על כדי להציג שגיאות מזויפות של Chrome, Word ו-OneDrive. קורבנות פוטנציאליים מתבקשים ללחוץ על כפתור העתקה המכיל "תיקון" לשגיאות המזויפות הללו. לאחר מכן יש להדביק את הקוד שהועתק זה בתיבת דו-שיח של Windows Run או בבקשת Powershell.
בדו"ח חדש המדגיש את כל שרשראות ההתקפה השונות המשמשות בקמפיין זה, Proofpoint מסבירה שאתרים שנפגעו הטוענים סקריפט זדוני המתארח ב-blockchain באמצעות חוזי Smart Chain של Binance משמשים גם להדבקת מחשבי Windows פגיעים בתוכנות זדוניות.
סקריפט זה מבצע מספר בדיקות לפני הצגת אזהרת Google Chrome מזויפת האומרת שיש בעיה בהצגת דף האינטרנט המדובר. מכאן, תיבת דו-שיח מבקשת מהמבקרים להתקין "אישור שורש" על ידי העתקת סקריפט PowerShell ולאחר מכן הפעלתו במסוף של Windows PowerShell (Admin).
הירשם כדי לקבל את המדריך הטוב ביותר של טום ישירות לתיבת הדואר הנכנס שלך.
שדרג את חייך עם מנה יומית של החדשות הטכנולוגיות הגדולות ביותר, פריצות לסגנון חיים וניתוח שנקבע שלנו. היה הראשון לדעת על גאדג'טים חדישים ועל המבצעים החמים ביותר.
כאשר הוא מופעל, סקריפט PowerShell זה מבצע בדיקות נוספות כדי לוודא שהמכשיר המדובר הוא יעד חוקי לפני שהוא מוריד מטענים נוספים, כולל תוכנה זדונית גניבת מידע.
לבסוף, ישנה גם שרשרת זיהומים מבוססת דוא"ל המשתמשת בקבצי HTML המצורפים הדומים למסמכי Word. הם מזמינים קורבנות פוטנציאליים להתקין תוסף "Word Online" כדי לצפות במסמך, אך כמו שאר שרשראות ההתקפה המשמשות בקמפיין זה, יש להעתיק גם "תיקון" הכולל פקודת PowerShell ולאחר מכן להדביק אותה ב-PowerShell.
בשרשרת ההתקפה הזו, הפקודה PowerShell מורידה ומבצעת קובץ MSI או סקריפט VBS שמדביק את מחשב היעד בתוכנה זדונית Matanbuchus או DarkGate.
כיצד לשמור על בטיחות מפני תוכנות זדוניות של Windows
כל שלוש שרשראות התקיפה השונות המשמשות בקמפיין זה מסתמכות על העובדה שרוב משתמשי Windows אינם מודעים לסכנות הכרוכות בהפעלת פקודות PowerShell לא ידועות במחשבים האישיים שלהם. זו הסיבה שאסור לך להעתיק ולהפעיל קוד אלא אם כן בהחלט לדעת מה אתה עושה.
באופן דומה, אתה גם רוצה לוודא ש-Windows Defender מופעל ופועל במחשב שלך מכיוון שהוא יכול לתפוס את התוכנה הזדונית שנפלה על ידי סקריפטים זדוניים של PowerShell. אם אתה רוצה אפילו יותר הגנה, עליך לשקול גם להשתמש באחת מחבילות תוכנת האנטי-וירוס הטובות ביותר לצד כלי האבטחה המובנים של מיקרוסופט, במיוחד מכיוון שלעתים קרובות הם מגיעים עם תוספות כמו VPN או מנהל סיסמאות.
לגבי מסעות פרסום כמו זה שמשתמשים בשכבות-על כדי להערים על קורבנות פוטנציאליים, אתה רוצה לעצור ולהקדיש דקה לחשוב על דברים לפני שאתה עושה משהו באינטרנט. האקרים מנסים לעתים קרובות להשרות תחושת דחיפות בהתקפות שלהם כדי לגרום לך לפעול בלי לחשוב. במקום זאת, עליך לקרוא בעיון את כל ההודעות ולנסות לחפש אותן באינטרנט כדי לראות אם הן אמיתיות או לא. גם אם אינך מוצא מידע באינטרנט, דרך הפעולה הטובה ביותר היא לא לעשות דבר ברוב המקרים.
התקפות שכבת-על הן יעילות מאוד מכיוון שלעתים קרובות הן נראות כאילו הן מגיעות מהתוכנה שבה אתה משתמש כעת. עם זאת, על ידי לימוד כיצד הם פועלים וידיעה ממה להיזהר, אתה יכול לשמור על בטיחות המכשירים והנתונים שלך.