Útok, na který upozorňuje bezpečnostní firma Malwarebytes, začíná tak, že dostanete věrohodně vypadající odkaz na videokonferenci přes Zoom. Kliknete. Načte se čekací místnost, ozve se charakteristický zvuk připojování účastníků, na obrazovce se objeví tři jména.
Hovor jako zamínka
Hovor ale nefunguje – video se seká, zvuk přeskakuje. Po chvíli vyskočí okno s nabídkou aktualizace a odpočítávání začne samo od sebe. Než stihnete cokoli udělat, do složky Stažené soubory přistane instalátor. Na obrazovce mezitím probíhá animace Microsoft Store, která vypadá jako legitimní instalace Zoomu. Celá procedura trvá méně než třicet sekund. A vy o ničem nevíte.
Zdroj: screenshot webu, redakce
Jak past funguje?
Stránka na adrese uswebzoomus[.]com/zoom/ vypadá věrohodně. Tři virtuální účastníci se postupně připojují, každý s autentickým zvukem Zoomu. Jejich konverzace se přehrává ve smyčce.
Důležitý detail: stránka se chová jinak, pokud s ní nikdo neinteraguje. Audio a sekvence připojování se spustí až ve chvíli, kdy skutečný člověk klikne nebo napíše. Automatizované bezpečnostní nástroje, které stránku prohledají bez interakce, neuvidí nic podezřelého.
Trvalé varování o problému se sítí přes hlavní video není chyba - je natvrdo zakódované do stránky. Rozsekaný zvuk a zasekávající se video jsou záměrné. Psychologická logika je přímočará: návštěvník sedí u nefunkčního hovoru a přirozeně předpokládá, že je problém v aplikaci. Když pak vyskočí nabídka aktualizace, nepůsobí jako hrozba. Působí jako řešení. Deset sekund po načtení se objeví překryvné okno bez tlačítka pro zavření. Odpočítávání doběhne do nuly a prohlížeč tiše stáhne soubor. Žádná výzva k potvrzení, žádné varování.
Zdroj: Malwarebytes
Co se nainstaluje do počítače?
Stažený soubor je standardní instalátor pro Windows ve formátu MSI. Uvnitř je Teramind - legitimní komerční software, který firmy používají ke sledování zaměstnanců na pracovních počítačích. Zaznamenává každý stisk klávesy, pořizuje pravidelné snímky obrazovky, sleduje navštívené weby, spouštěné aplikace, obsah schránky i e-mailovou a souborovou aktivitu.
V podnikových podmínkách, kde jsou o tom zaměstnanci informováni a existují interní směrnice, je to legální nástroj. Na osobním počítači nainstalovaný bez vědomí uživatele je to něco jiného. V bezpečnostní terminologii se pro takový software používá označení stalkerware.
Mohlo by vás zajímat
Navržen tak, aby byl neviditelný
Teramind nabízí tzv. stealth mode - režim, ve kterém agent běží bez jakékoli viditelné přítomnosti v systému. Žádná ikona v hlavním panelu, žádný záznam v seznamu nainstalovaných programů, žádná stopa v systémové liště.
Binární soubor agenta se ve výchozím nastavení jmenuje dwm.exe a instaluje se do adresáře ProgramData\{GUID}. Instalátor navíc po dokončení smaže dočasné soubory a pracovní adresáře. Než se někdo podívá, zjevné stopy jsou pryč. Agent sám ale dál běží na pozadí.
Mohlo by vás zajímat
Brainrot, hry a intimní fotky. Odborníci popsali rizika, která na děti číhají v online světě
Bezpečnost
Proč je tato kampaň zvlášť nebezpečná?
Většina malwarových kampaní staví na vlastnoručně napsaném kódu. Ten má slabiny, zanechává charakteristické stopy a antivirové databáze ho postupně zachytí. V tomto případě zvolili útočníci jinou strategii. Nasadili profesionálně vyvinutý komerční produkt, který je navržen tak, aby spolehlivě fungoval a přežil restarty systému. Je odolnější než mnohé tradiční malwarové nástroje a nese s sebou důvěryhodnost legitimní firmy.
Celý útok přitom nestojí na žádné sofistikované technice. Žádná nová zranitelnost, žádný zero-day exploit. Jen přesvědčivá falešná stránka, automatické stažení souboru a animace Microsoft Store, která celou akci zamaskuje.
Co dělat, když jste na stránce byli?
Pokud jste navštívili uswebzoomus[.]com/zoom/ a do Stažených souborů přistál soubor s názvem zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced) (1).msi, neotvírejte ho.
Pokud jste ho již spustili, považujte zařízení za kompromitované. Zkontrolujte, zda v adresáři C:\ProgramData existuje složka {4CEC2908-5CE4-48F0-A717-8FC833D8017A}. Adresář ProgramData je ve výchozím nastavení skrytý - v Průzkumníku souborů je třeba zapnout zobrazení skrytých položek.
Zda je agent aktivní, lze ověřit v příkazovém řádku spuštěném jako správce příkazem sc query tsvchst. Výsledek STATE: 4 RUNNING znamená, že agent běží.
Hesla k důležitým účtům (e-mail, bankovnictví, pracovní systémy) změňte z jiného, čistého zařízení. Pokud k incidentu došlo na pracovním počítači, kontaktujte IT oddělení nebo bezpečnostní tým.
Zoom otevírejte přímo z nainstalované aplikace nebo zadejte zoom.us do prohlížeče ručně. Neklikejte na neočekávané odkazy, i když vypadají legitimně a přišly od známé adresy. Pět sekund kontroly URL může předejít vážnému problému.
Zdroj: Malwarebytes
8 foto
