Przejdź na

Ransomware Cyborg: Windows Update w pliku JPG? Niektórzy dali się oszukać

Wyobraź sobie, że właśnie otwierasz e-maila, którego nadawca podaje się za przedstawiciela Microsoftu i twierdzi, że ma specjalnie dla ciebie krytyczną aktualizację do wgrania. Mało prawdopodobne, prawda? A trzeba nadmienić, że ową aktualizacją ma być plik JPG. Ktoś powie, że to kompletny absurd. Owszem—a jednak są na świecie tacy ludzie, którzy dali się tą właśnie metodą oszukać na niemałą kwotę 500 dol.

Obraz
Piotr Urbaniak
Piotr Urbaniak

Atak, o którym mowa, okazuje się niezwykle prymitywny pod względem technicznym, ale ma solidne podłoże socjologiczne. Bazuje na budowie złudnego poczucia bezpieczeństwa. Statystyczny użytkownik komputera raczej nie spodziewa się zagrożenia ze strony pliku JPG, który kojarzy ze zdjęciami. Ale to w rzeczywistości EXE, tylko ukryty, donosi firma Trustwave.

Jest kilka sposobów na to, by zmienić widzialne rozszerzenie pliku, nie uniemożliwiając jednak jego wykonania. Bodaj najpopularniejszy z nich to zastosowanie w nazwie znaku unicode right-to-left, stworzonego pierwotnie z myślą o językach, w których pisze się od prawej do lewej. W takim wypadku plik nazywający się w rzeczywistości gpj.exe może zostać wyświetlony użytkownikowi przez menedżery czy klienty poczty jako exe.jpg—a i tak się wykona. Ale rzekomy obraz może być też po prostu skrótem do czegoś innego, choćby adresu sieciowego.

W przypadku opisywanego ataku plik JPG wywoływał downloader .NET, który następnie z zablokowanego już konta na GitHubie pobierał ransomware o nazwie Cyborg. Dalszą część historii łatwo dopowiedzieć. Oczywiście program szyfrował wszystkie dane na dysku, a następnie generował żądanie okupu w wysokości 500 dol., z unikatowym adresem portfela bitcoin i adresem e-mail, na który ofiara miała się zgłosić po przekazaniu środków. We wiadomości prasowej badacze z Trustwave dodają, że nieokreślona pula osób zdecydowała się zapłacić.

Ransomware Cyborg: nowa fala ataków

Zauważają przy tym, że lada dzień wykorzystany niniejszym ransomware Cyborg może stać się zagrożeniem niezwykle powszechnym. Na GitHubie wciąż można znaleźć binarkę, która pozwala w kilku krokach zbudować kolejne instancje ataku. Oficjalnie ma służyć jako narzędzie do testów penetracyjnych, ale trudno wymagać od cyberprzestępców, aby wzięli sobie sugestie twórcy do serca i nie spróbowali skorzystać z nadarzającej się okazji.

Obraz

Na całe szczęście malware pada już łatwym łupem zdecydowanej większości antywirusów, w tym zintegrowanego z dziesiątką Windows Defender. Nie powinien zatem mocno nabruździć.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥