Milion zařízení v ohrožení: Zákeřný malware se šíří přes reklamy
Zdroj: Shutterstock
Nejnovější malvertisingová kampaň, která cílila na uživatele Windows, infikovala téměř milion zařízení po celém světě. Skrze zdánlivě běžné reklamy se do počítačů dostal malware, který kradl přihlašovací údaje, finanční informace a dokonce i kryptoměnové peněženky. Útočníci využili pokročilé techniky, aby se vyhnuli detekci antiviry, a využili oblíbené webové stránky, včetně streamovacích platforem a cloudových služeb, k šíření svého škodlivého kódu. Jak se bránit a na co si dát pozor?
Jak probíhal útok?
Celá kampaň byla zahájena v prosinci minulého roku, kdy útočníci začali osazovat různé webové stránky nebezpečnými odkazy. Po kliknutí na ně se v pozadí spustil řetězec přesměrování, který nakonec vedl ke stažení infikovaných souborů.
Zdroj: Shutterstock
Zajímavostí je, že k šíření malwaru útočníci využili i oficiální služby jako GitHub, Discord a Dropbox. Microsoft odhalil, že GitHub byl hlavní platformou pro hostování škodlivých souborů, ale v některých případech se data šířila i přes další cloudové služby.
Čtyřstupňový útok
Malware byl šířen ve čtyřech fázích:
- První fáze – Identifikace cílového zařízení a sběr základních informací o systému.
- Druhá fáze – Stažení a spuštění dalších škodlivých souborů, často pomocí skrytých skriptů v PowerShellu.
- Třetí fáze – Vypnutí nebo obejití bezpečnostních mechanismů, aby malware zůstal neodhalený.
- Čtvrtá fáze – Připojení k serveru útočníků (tzv. C2 server) a odeslání ukradených dat.
Tento postup zajišťoval, že škodlivý software přežil i po restartu počítače a mohl se v zařízení udržet po delší dobu.
Co útočníci kradli?
Hlavním cílem bylo získat citlivá data uložená v prohlížečích. Malware vyhledával konkrétní soubory, ve kterých mohly být uložené přihlašovací údaje, hesla nebo údaje o platebních kartách.
Mezi soubory, které byly cílem útoku, patřily například:
- Mozilla Firefox: cookies.sqlite, formhistory.sqlite, key4.db, logins.json
- Google Chrome: Web Data, Login Data
- Microsoft Edge: Login Data
Kromě toho útočníci prohledávali napadené počítače i na přítomnost kryptoměnových peněženek, což naznačuje, že se zaměřovali na finanční podvody. Mezi cílené aplikace patřily například Ledger Live, Trezor Suite, KeepKey, BCVault, OneKey a BitBox.
Nezůstalo ale jen u lokálních dat – malware se snažil získat i informace uložené v cloudových úložištích, jako je Microsoft OneDrive. To znamená, že útočníci měli přístup nejen k souborům v počítači, ale i k těm, které si uživatelé zálohovali online.
Kde se malware nejčastěji šířil?
Podle Microsoftu se zdá, že hlavním zdrojem infikovaných reklam byly weby nabízející nelegální streamování filmů a seriálů. Konkrétně byly identifikovány domény jako movies7[.]net a 0123movie[.]art.
To dává smysl – nelegální streamovací stránky jsou často plné reklam, které někteří uživatelé slepě klikají ve snaze spustit film. Tím ale nevědomky stahují malware.
Zdroje:
Lukáš "Francesco" Čihák
Diskuse ke článku Milion zařízení v ohrožení: Zákeřný malware se šíří přes reklamy
