Malware deghizat într-o soluție de securitate. Nu da click!

13 iunie 2014, 11:43 de Bogdan Biszok

Ultima modificare în 16 iunie 2014, 16:54

La începutul lunii aprilie, vulnerabilitatea OpenSSL HeartBleed a pus în alertă o lume întreagă, fiind considerată una dintre cele mai importante ameninţări de securitate informatică din istoria recentă. De la dezvăluirea HeartBleed, infractorii cibernetici au încercat să profite de această vulnerabilitate și să desfășoare atacuri în interese proprii.

Symantec a identificat și dezvăluit recent o campanie spam care se folosește de amenințarea Heartbleed și profită de temerile utilizatorilor pentru a-i determina să instaleze un program de securitate împotriva HeartBleed care ascunde în realitate un program malware. Utilizatorii primesc un e-mail care îi atenționează că, deși au luat măsuri de securitate și au schimbat parolele pe site-urile pe care le vizitează frecvent, computerele lor pot fi în continuare infectate cu HeartBleed. Astfel, utilizatorii sunt îndrumați să ruleze un program de securitate care să înlăture HeartBleed de pe computerele lor, atașat e-mailului primit.

Acest atac vizează utilizatorii care nu dețin toate informațiile despre HeartBleed și nu au cunoștințe tehnice pentru a știi că, în realitate, HeartBleed nu este un program malware și, prin urmare, nu poate infecta un computer. Atacatorii folosesc mesaje și tactici prin care încearcă să sperie utilizatorii și să îi determine să deschidă fișierul atașat e-mailului transmis.

Un prim semnal de alarmă care ar trebui să trezească suspiciunea este subiectul e-mailului, și anume „În căutarea unor oportunități de investiții în Siria”, care nu are nicio legătură cu conținutul propriu-zis al e-mailului.

Prin acest mesaj spam, infractorii informatici încearcă să câștige încrederea utilizatorilor pretinzând că e-mailul este trimis de către o binecunoscută companie din domeniul aplicațiilor de management al parolelor. E-mailul oferă detalii despre cum se utilizează instrumentul de securitate împotriva HeartBleed și care sunt pașii de urmat în cazul în care antivirusul blochează operațiunile de curățare a computerului. Documentul atașat este de tip Word, având extensia .docx, care pentru utilizatori poate părea mai sigur decât un fișier executabil. Cu toate astea, după ce documentul Word este deschis, utilizatorului descoperă un fișier cu extensia .zip al cărui conținut este criptat. După dezarhivare, utilizatorii găsesc un fișier periculos heartbleedbugremovaltool.exe.

Odată deschis, heartbleedbugremovaltool.exe downloadează unkeylogger în fundal, în timp ce pe ecran apare un mesaj pop-up cu o bară de progres. După încărcarea completă, apare un nou mesaj prin care utilizatorul este informat că HeartBleed nu a fost depistat pe computer şi că, prin urmare, computerul este curat.

După ce instrumentul fals de securitate împotriva HeartBleed face dovada calităţilor sale de scanare şi curăţare prin mesajul pop-up, utilizatorii se pot simţi uşuraţi că nu le-au fost infectate computerele. Departe de adevăr, totuşi, pentru că acum au unkeylogger în calculator, care înregistrează fiecare literă scrisă,face screenshot-uri şi transmite informaţii confidenţiale către o adresă de e-mail a unui furnizor gratuit de găzduire e-mail.

Aşa cum este detaliat în Symantec Heartbleed Advisory, Symantec avertizează utilizatorii să fie precauţi cu privire la orice e-mail care solicită informaţii cu caracter personal, noi sau actualizate, dar și la e-mailuri care presupun accesarea unor fişiere cu scopul de a şterge HeartBleed. Nu în ultimul rând, utilizatorii ar trebui să evite să dea click pe link-urile din mesajele care par suspecte.