Μία νέα ομάδα απειλητικών παραγόντων, χρησιμοποιώντας ένα κιτ εκμετάλλευσης για Android και ένα κερκόπορτα που στοχεύει τόσο χρήστες Android όσο και Windows, θα μπορούσε εύκολα να περάσει κάτω από το ραντάρ σας και να παραβιάσει τις συσκευές σας.
Σύμφωνα με αναλυτές της Trend Micro, το κακόβουλο λογισμικό «υποβιβάζει» τους περιηγητές ιστού, επαναφέροντάς τους σε παλαιότερες εκδόσεις χωρίς προστασία.
Πώς λειτουργεί η νέα απειλή;
Σύμφωνα με την ανάλυση των ερευνητών της Trend Micro, Joseph C. Chen και Daniel Lunghi, η ομάδα Earth Minotaur συνδυάζει το κιτ εκμετάλλευσης Moonshine με το backdoor DarkNimbus.
- Το Moonshine στοχεύει ευπάθειες σε εφαρμογές μηνυμάτων στο Android.
- Το DarkNimbus έχει εκδόσεις και για Android και για Windows.
Αν και ο αρχικός στόχος αυτής της εκστρατείας φαίνεται να είναι οι κοινότητες του Θιβέτ και των Ουιγούρων, οι ερευνητές προειδοποιούν ότι η τεχνική αυτή μπορεί να χρησιμοποιηθεί σε ευρύτερες επιθέσεις.
Η τεχνική «downdate» των περιηγητών
Το Moonshine ελέγχει εάν ο περιηγητής σας έχει γνωστά κενά ασφαλείας. Εάν όχι, ενεργοποιεί μια πρωτότυπη τεχνική phishing:
- Προειδοποίηση για δήθεν απαρχαιωμένο περιηγητή: Το κιτ εμφανίζει μια ψεύτικη σελίδα που σας καλεί να κατεβάσετε μια «αναβάθμιση».
- Εγκατάσταση παλαιότερης ευάλωτης έκδοσης: Αντί για ενημέρωση, κατεβάζει μια παλαιότερη έκδοση με ευπάθειες.
Αφού εγκατασταθεί η ευάλωτη έκδοση, η επίθεση επαναλαμβάνεται, στοχεύοντας τον χρήστη.
Σύμφωνα με το Forbes, το Moonshine, όπως τα περισσότερα κιτ εκμετάλλευσης αυτού του τύπου, αναζητά γνωστά τρωτά σημεία που μπορεί να εκμεταλλευτεί. Σε αυτήν την περίπτωση, αναζητά πολλαπλά γνωστά τρωτά σημεία που υπάρχουν σε προγράμματα περιήγησης ιστού που βασίζονται σε Chromium, όπως το Chrome, το Edge και ούτω καθεξής.
Αυτές οι ενημερώσεις ασφαλείας είναι αυτόματες, αλλά απαιτούν από τον χρήστη να επανεκκινήσει το πρόγραμμα περιήγησης, πράγμα που σημαίνει ότι κλείνει την εκτεταμένη σειρά καρτελών για να ενεργοποιηθεί με επιτυχία η ενημέρωση.
Οι ερευνητές της Trend Micro, ωστόσο, είπαν ότι βρήκαν ότι το κιτ εκμετάλλευσης «υποστηρίζει μια ενδιαφέρουσα τεχνική phishing που προορίζεται να υποβαθμίσει τη μηχανή του προγράμματος περιήγησης μιας εφαρμογής», όταν εντοπίζει ότι το πρόγραμμα περιήγησης δεν είναι ευάλωτο στα εκμεταλλεύσεις που αναζητά.
Σε αυτήν την περίπτωση, το κιτ εκμετάλλευσης δεν παραδίδει τον κώδικα εκμετάλλευσης, αλλά αντ’ αυτού, «ο διακομιστής επιστρέφει μια σελίδα ηλεκτρονικού ψαρέματος που ενημερώνει το θύμα ότι η έκδοση της μηχανής προγράμματος περιήγησης που χρησιμοποιείται στην εφαρμογή είναι παλιά και πρέπει να αναβαθμιστεί με έναν παρεχόμενο σύνδεσμο λήψης», είπαν οι ερευνητές.
Προστασία από την απειλή
Οι ερευνητές της Trend Micro συνιστούν:
- Τακτική ενημέρωση εφαρμογών και περιηγητών.
- Αποφυγή κλικ σε ύποπτους συνδέσμους.
Είναι σημαντικό να κλείνετε και να επανεκκινείτε τους περιηγητές μετά τις αυτόματες ενημερώσεις, ώστε να ενεργοποιούνται οι αλλαγές ασφαλείας.
Η Microsoft και η Google δεν έχουν δώσει ακόμη επίσημη δήλωση σχετικά με το θέμα.
πηγή: FOXreport.gr