Jak malware funguje

Útok začíná zprávou od neznámého uživatele na platformě Telegram, která je často využívána podvodníky. Útočník přesvědčí oběť ke stažení podvodné aplikace, v tomto případě falešné sci-fi blockchainové hry s názvem Orbit Unit. Po instalaci této aplikace se do systému dostane malware, který Microsoft Defender nezachytí.

Malware využívá PowerShell ke spuštění škodlivých skriptů a instaluje do prohlížeče Chrome falešné rozšíření nazvané "Google Keep Chrome Extension". Toto rozšíření se tváří jako legitimní nástroj pro poznámky od Googlu, ale ve skutečnosti sleduje veškeré kopírované a vkládané texty, historii prohlížení a dokonce může otevírat nové karty v prohlížeči.

Obcházení dvoufaktorového ověření

Jedním z nejnebezpečnějších aspektů tohoto malwaru je jeho schopnost obejít dvoufaktorové ověření. Díky přístupu k uloženým přihlašovacím údajům a cookies dokáže získat kontrolu nad Google účtem oběti. To umožňuje útočníkovi přistupovat k dalším službám a účtům, které jsou propojeny s Googlem, a provádět transakce bez vědomí uživatele.

Případová studie: Ztráta přes 24 000 dolarů

Jeden z postižených uživatelů sdílel svůj příběh, ve kterém popsal, jak přišel o více než 24 000 dolarů v kryptoměnách. Útočník získal přístup k jeho heslům uloženým v aplikaci Bitwarden, která byla v tu chvíli odemčená. Následně odcizil přihlašovací údaje k jeho kryptopeněžence a vybral veškeré prostředky.

"Získal přístup k mým Google heslům, protože můj Bitwarden byl odemčený, a pak si stáhl hesla z rozšíření peněženky. To mě vedlo k záhubě," uvedl oběť ve svém příspěvku. Navzdory tomu, že měl na svém počítači nainstalovaný Malwarebytes, používal bezplatnou verzi bez ochrany v reálném čase, která detekovala hrozbu až po manuálním skenování, kdy už bylo pozdě.

Zdroj: Shutterstock

Testování a zjištění odborníků

Výzkumníci ze společnosti SafetyDetectives provedli testy na základě hlášení této oběti. Potvrdili, že Microsoft Defender nezaznamenal žádnou hrozbu během instalace ani spuštění malwaru. Malware tak mohl bez překážek infikovat systém a získávat citlivá data.

Při testech s jinými antivirovými programy, jako je Malwarebytes s aktivní ochranou v reálném čase, byl malware zablokován ještě před instalací. Bitdefender sice nezabránil instalaci, ale zastavil malware před přístupem k citlivým informacím. Oba programy tak účinně zabránily útoku a ochránily data uživatele.

Zajímavým aspektem tohoto malwaru je jeho schopnost detekovat geografickou polohu uživatele. Pokud zjistí, že zařízení se nachází v Rusku, na Ukrajině nebo v Bělorusku, útok neprovede. To může naznačovat, že útočníci pocházejí z těchto zemí a nechtějí riskovat odhalení nebo právní důsledky ve své domovské zemi.