Компания Proofpoint выявила крупное распространение вредоносного ПО в начале этого месяца, однако фирма по онлайн-защите полагает, что кампания продолжается с марта 2024 года. Вредоносное ПО маскируется под ложные ошибки Google Chrome, Word и OneDrive, чтобы заставить пользователей загружать вредоносный код. Эти ошибки побуждают посетителя нажать кнопку для копирования "исправления" PowerShell в буфер обмена, а затем вставить и запустить его в диалоговом окне "Выполнить" или в командной строке PowerShell.
«Хотя цепочка атаки требует значительного взаимодействия пользователя для успешного выполнения, социальная инженерия достаточно умна, чтобы представить человеку одновременно реальную проблему и решение, что может побудить пользователя действовать, не задумываясь о риске», - предупреждает Proofpoint. Когда скрипт PowerShell запускается, он проверяет, является ли устройство допустимой целью. Затем он загружает дополнительные полезные нагрузки. Эти шаги включают очистку кеша DNS, удаление содержимого буфера обмена, показ ложного сообщения и загрузку другого удаленного скрипта PowerShell.
Кража криптовалюты
Этот второй скрипт проверяет, работает ли он на виртуальной машине, прежде чем загрузить инфостилер. Как только все готово, хакер может получить доступ к криптовалюте жертвы. Эта схема перенаправляет средства жертвы на счет хакера вместо предполагаемого получателя.
Альтернативный метод атаки: Приманка по электронной почте
Proofpoint отмечает, что злоумышленники также используют другой метод под названием «приманка по электронной почте» для установки вредоносного ПО. Электронные письма, как правило, выглядящие как рабочие или корпоративные, содержат HTML-файл, напоминающий Microsoft Word. Эти письма побуждают пользователей установить расширение «Word Online» для правильного просмотра документа. Подобно вышеописанному методу, пользователи должны открыть PowerShell и скопировать туда вредоносный код. Proofpoint утверждает, что обманная «кампания» широко распространена. «Кампания включала более 100 000 сообщений и была нацелена на тысячи организаций по всему миру», - сообщает фирма.
5 способов защитить себя от вредоносного ПО
- Установите надежное антивирусное ПО: Лучший способ защитить себя от кликов по вредоносным ссылкам, которые устанавливают вредоносное ПО и могут получить доступ к вашей личной информации, - это установить антивирусную защиту на всех ваших устройствах. Это также может предупредить вас о фишинговых письмах или вымогательских атаках.
- Используйте VPN: Рассмотрите возможность использования VPN для защиты от отслеживания и определения вашего потенциального местоположения на посещаемых вами веб-сайтах. VPN замаскирует ваш IP-адрес, показывая альтернативное местоположение.
- Мониторьте свои счета: Регулярно проверяйте свои банковские выписки, выписки по кредитным картам и другие финансовые счета на предмет несанкционированной активности. Если вы заметите подозрительные транзакции, немедленно сообщите об этом в свой банк или компанию по кредитным картам.
- Установите уведомление о мошенничестве: Свяжитесь с одним из трех основных кредитных бюро (Equifax, Experian или TransUnion) и запросите установку уведомления о мошенничестве в вашем кредитном файле.
- Включите двухфакторную аутентификацию: Включайте двухфакторную аутентификацию при любой возможности. Это добавляет дополнительный уровень безопасности, требуя второй фактор подтверждения.