Kyberzločinci využívají fakt, že lidé často důvěřují známým značkám i vyhledávačům. Nová kampaň, kterou sledují bezpečnostní týmy společnosti Expel, se zaměřuje právě na tuto lidskou důvěru. Podvodníci vytvořili realistické webové stránky, které napodobují oficiální stahovací portál Microsoft Teams.

Reklamy se zobrazují přímo v Bing vyhledávání a na první pohled působí zcela důvěryhodně. Uživatel tak snadno klikne na oficiální odkaz, netuše, že ve skutečnosti směřuje na podvržený web. Tam už čeká infekce v podobě dvou programů - OysterLoader a Latrodectus, které otevřou útočníkům dveře do systému.

Jak útok funguje?

Na napadené stránce není žádný podezřelý prvek. Design i text jsou téměř identické s originálem od Microsoftu. Jakmile však uživatel spustí stažený instalační soubor, aktivuje se loader program, který následně stáhne další škodlivý kód.

Zdroj: Shutterstock

Z počátku se může jednat o nenápadné komponenty, které sbírají informace o systému. V další fázi ale přichází na řadu závažnější hrozby - například backdoor, trojský kůň, nebo samotný ransomware, který zašifruje soubory a žádá výkupné.

Z analýzy vyplývá, že právě ransomware Rhysida stojí za touto kampaní. Je známý tím, že funguje jako Ransomware-as-a-Service (RaaS), v němž hlavní skupina poskytuje nástroje jiným hackerům výměnou za podíl z výkupného.

Rhysida: Vyděračský byznys ve velkém

Skupina Rhysida se objevila už v roce 2023, kdy napadla Britskou knihovnu a ukradla přes 600 GB dat. O rok později se zaměřila na letiště Seattle-Tacoma a následně na několik amerických škol a úřadů. Cílí především na instituce, které si nemohou dovolit dlouhé výpadky provozu, a proto raději zaplatí.

V nové kampani skupina ukazuje, že se posouvá dál. Už neútočí jen na velké organizace, ale míří i na jednotlivce a menší firmy, které používají běžné kancelářské nástroje. To činí útok nebezpečnější - a těžší na odhalení.

Proč jsou falešné reklamy tak účinné

Útočníci zneužívají placené reklamní systémy, které umožňují rychle zobrazit odkazy na prominentních pozicích. Bing i Google Ads sice mají ochranné mechanismy, ale hackeři je obcházejí tím, že své kampaně maskují.

Založí si několik účtů, často s ukradenými identitami, a vkládají krátkodobé reklamy směřující na napodobeniny oficiálních domén. Když je jedna kampaň odhalena, okamžitě se objeví nová. Celý proces je řízen automaticky a může se měnit několikrát denně.

Jak se bránit: Klíčová je obezřetnost

Odborníci doporučují stahovat aplikace pouze z oficiálních webů, nikoli přes vyhledávač nebo reklamy. U firemních počítačů by měl být aktivní firewall, antivirová ochrana a ideálně i centrální kontrola stahovaných souborů.

Je také vhodné neklikat na sponzorované odkazy, i když vypadají důvěryhodně. Microsoft Teams má vlastní instalační kanály - v případě pochybností je vždy lepší přejít na stránku ručně přes adresní řádek.