Cyberprzestępcy wykorzystują nową metodę infekcji komputerów za pomocą plików instalacyjnych aplikacji. Problem dotyczy użytkowników Windowsa, którzy chcą zaopatrzyć się w popularne oprogramowanie.
Wirusy ukryte w Chrome, Edge i Brave – uwaga na fałszywe instalatory
Hakerzy zaczęli wykorzystywać pliki MSIX. To jeszcze dość nowy format, wykorzystywany do pakowania i instalacji plików różnorodnych aplikacji. Ma on być bardziej niezawodny i optymalizować przestrzeń zajmowaną przez instalator. Nowinka została już jednak wykorzystana do niecnych celów, bo w sieci zaczęły się pojawiać pliki MSIX zainfekowane złośliwym oprogramowaniem.
Eksperci Elastic Security Labs alarmują, że nieznani sprawcy zaczęli rozpowszechniać instalatory udające popularne programy, lecz jednocześnie umożliwiające instalację wirusów w systemie. W grupie zainfekowanych wykryto pliki MSIX popularnych aplikacji jak Google Chrome, Microsoft Edge, Brave, Grammarly czy Cisco Webex.
„MSIX wymaga dostępu do zakupionych lub skradzionych certyfikatów podpisywania kodu. Przez to metoda ta jest opłacalna jedynie dla grup hakerskich z ponadprzeciętnymi zasobami” – ocenia Joe Desimone, badacz bezpieczeństwa Elastic Security Labs.
GHOSTPULSE – kombajn do instalacji wirusów
Jeśli nieopatrznie pobierzemy zainfekowany instalator i otworzymy plik na naszym systemie może pojawić się wirus GHOSTPULSE. Jego pobranie nie jest jeszcze ostatecznym krokiem hakerów. Jest to bowiem tak zwany loader – program działa jak stopa w drzwiach i instaluje dalsze wirusy na przejętym systemie.
Po rozpoczęciu działania GHOSTPULSE może instalować szereg innych złośliwych programów. Specjaliści wymieniają tu SectopRAT, Rhadamanthys, Vidar, Lumma, czy NetSupport RAT. Cześć z nich to programy zdalnego dostępu, które umożliwią przejęcie komputera i dostęp do naszych danych. Inne umożliwiają szybką ekstrakcje informacji lub wykonywanie złośliwego kodu.
Antywirusy powinny wykryć zagorzenie po kodzie YARA „Windows.Trojan.GhostPulse”. Jak na razie nie znamy liczby ani celu ataków nową metodą, a nawet grupy hakerskiej, która stoi za ostatnią kampanią MSIX. Wiele wskazuje na to, że akcja hakerów może być motywowana finansowo.
Czytaj też:
19-latek zhakował rządowe strony. Hasło brzmiało „Admin123”Czytaj też:
5 kroków zabezpieczających przed hakerami. Każdy może je wykonać