Ransomware Cyborg: Windows Update w pliku JPG? Niektórzy dali się oszukać

Wyobraź sobie, że właśnie otwierasz e-maila, którego nadawca podaje się za przedstawiciela Microsoftu i twierdzi, że ma specjalnie dla ciebie krytyczną aktualizację do wgrania. Mało prawdopodobne, prawda? A trzeba nadmienić, że ową aktualizacją ma być plik JPG. Ktoś powie, że to kompletny absurd. Owszem—a jednak są na świecie tacy ludzie, którzy dali się tą właśnie metodą oszukać na niemałą kwotę 500 dol.

Atak, o którym mowa, okazuje się niezwykle prymitywny pod względem technicznym, ale ma solidne podłoże socjologiczne. Bazuje na budowie złudnego poczucia bezpieczeństwa. Statystyczny użytkownik komputera raczej nie spodziewa się zagrożenia ze strony pliku JPG, który kojarzy ze zdjęciami. Ale to w rzeczywistości EXE, tylko ukryty, donosi firma Trustwave.

Jest kilka sposobów na to, by zmienić widzialne rozszerzenie pliku, nie uniemożliwiając jednak jego wykonania. Bodaj najpopularniejszy z nich to zastosowanie w nazwie znaku unicode right-to-left, stworzonego pierwotnie z myślą o językach, w których pisze się od prawej do lewej. W takim wypadku plik nazywający się w rzeczywistości gpj.exe może zostać wyświetlony użytkownikowi przez menedżery czy klienty poczty jako exe.jpg—a i tak się wykona. Ale rzekomy obraz może być też po prostu skrótem do czegoś innego, choćby adresu sieciowego.

W przypadku opisywanego ataku plik JPG wywoływał downloader .NET, który następnie z zablokowanego już konta na GitHubie pobierał ransomware o nazwie Cyborg. Dalszą część historii łatwo dopowiedzieć. Oczywiście program szyfrował wszystkie dane na dysku, a następnie generował żądanie okupu w wysokości 500 dol., z unikatowym adresem portfela bitcoin i adresem e-mail, na który ofiara miała się zgłosić po przekazaniu środków. We wiadomości prasowej badacze z Trustwave dodają, że nieokreślona pula osób zdecydowała się zapłacić.

Zauważają przy tym, że lada dzień wykorzystany niniejszym ransomware Cyborg może stać się zagrożeniem niezwykle powszechnym. Na GitHubie wciąż można znaleźć binarkę, która pozwala w kilku krokach zbudować kolejne instancje ataku. Oficjalnie ma służyć jako narzędzie do testów penetracyjnych, ale trudno wymagać od cyberprzestępców, aby wzięli sobie sugestie twórcy do serca i nie spróbowali skorzystać z nadarzającej się okazji.

Na całe szczęście malware pada już łatwym łupem zdecydowanej większości antywirusów, w tym zintegrowanego z dziesiątką Windows Defender. Nie powinien zatem mocno nabruździć.