Vírusový radar: Škodlivý Hamster Kombat či falošný antivírus, ktorý zaplaví váš smartfón reklamami. Aj také bolo leto.
Nextech je naspäť po krátkej letnej prestávke a s ním aj naše pravidelné stretnutia. Vlastne to bolo v 90. rokoch, pred vyše štvrťstoročím, keď Miroslav Trnka, vtedy ešte v PC REVUE, napísal tento stĺpček prvýkrát. Ide tak o jeden z najdlhšie kontinuálne vychádzajúcich stĺpčekov v slovenskej tlači. Viac ako desaťročie ho písal priamo Miroslav Trnka. A rovnako ako sa tento stĺpček nikdy nezastavil, nezastavil sa ani výskum ESETu. A tak vám po letných prázdninách môžem opäť priniesť priehrštie zaujímavostí z nášho Labu.
V uplynulých mesiacoch zaujala svet nadšencov kryptomenových hier klikacia hra Hamster Kombat z aplikácie Telegram. Ako sa dalo očakávať, úspech hry Hamster Kombat prilákal aj kyberzločincov, ktorí začali nasadzovať malvér zameraný na hráčov tejto hry. Náš výskumník Lukáš Štefanko objavil hrozby, ktoré cielia na používateľov operačných systémov Android aj Windows. Pri skúmaní rizík spojených s pokusmi o získanie hier a súvisiaceho softvéru z neoficiálnych zdrojov našiel ESET niekoľko hrozieb. Výskumníci odhalili diaľkovo ovládaný malvér pre Android, šírený cez neoficiálny kanál Hamster Kombat Telegram, falošné obchody s aplikáciami, ktoré prinášajú neželané reklamy, či repozitáre GitHub, ktoré distribuujú cryptory infostealera Lumma Stealer pre zariadenia s Windows, pričom tvrdia, že ponúkajú nástroje na automatizáciu hry.
Aj keď je hranie, ktoré spočíva najmä v opakovanom ťukaní na obrazovku mobilného zariadenia, pomerne jednoduché, hráči túžia po niečom viac, po možnosti veľkého zárobku súvisiaceho s kryptopeniazmi napojenými na hru Hamster Kombat. Jedna z nástrah je v tom, že vďaka svojmu úspechu už hra prilákala nespočetné množstvo napodobenín, ktoré kopírujú jej názov a ikonu a majú podobnú hrateľnosť. Našťastie všetky prvé príklady, ktoré sme analyzovali, neboli až také nebezpečné, ale napriek tomu sa zameriavajú na zarábanie peňazí z reklám v aplikáciách.
No okrem toho sme v ESETe identifikovali a analyzovali dva typy hrozieb zameraných na používateľov systému Android: škodlivú aplikáciu, ktorá obsahuje špionážny softvér Ratel pre Android, a falošné webové stránky, ktoré sa vydávajú za rozhrania obchodov s aplikáciami a tvrdia, že je na nich k dispozícii na stiahnutie hra Hamster Kombat. Ratel dokáže kradnúť notifikácie a posielať SMS správy. Prevádzkovatelia malvéru využívajú túto funkcionalitu na platenie predplatného a služby z prostriedkov obete bez toho, aby si to obeť všimla. Po spustení si aplikácia vyžiada povolenie na prístup k oznámeniam a požiada o nastavenie ako predvolenej aplikácie na odosielanie SMS. Po udelení týchto oprávnení získa škodlivý softvér prístup ku všetkým SMS správam a dokáže zachytiť všetky zobrazené oznámenia.
Hoci je Hamster Kombat mobilná hra, ESET našiel aj škodlivý softvér zneužívajúci názov hry na šírenie v systéme Windows. Kyberzločinci sa snažia používateľov Windows nalákať na pomocné nástroje, ktoré tvrdia, že hráčom uľahčujú maximalizáciu zisku v hre. Výskum spoločnosti ESET odhalil repozitáre GitHub, ktoré ponúkajú farm boty Hamster Kombat a automatické klikanie, čo sú nástroje, ktoré automatizujú klikanie v hre. Ukázalo sa, že tieto repozitáre v skutočnosti skrývajú neslávne známy Lumma Stealer. Lumma Stealer je infostealer ponúkaný ako „malvér ako služba“, ktorý je k dispozícii na zakúpenie na dark webe a v službe Telegram. Prvýkrát bol zaznamenaný v roku 2022 a bežne sa šíri prostredníctvom pirátskeho softvéru a spamu. Zameriava sa na kryptopeňaženky, prihlasovacie údaje používateľov, rozšírenia prehliadačov, ktoré umožňujú dvojfaktorovú autentifikáciu, a ďalšie citlivé informácie.
V inom zaujímavom výskume náš výskumník z Montrealu Romain Dumont objavil sofistikovaný advér od záhadnej čínskej spoločnosti. Tento škodlivý kód nás zaujal tým, že obsahuje Microsoftom podpísaný zraniteľný ovládač s rozsiahlymi systémovými privilégiami a práve prostredníctvom neho injektuje reklamy do prehliadača. Hrozba, ktorú ESET nazval HotPage, sa šíri v podobe samostatne spustiteľného súboru. Ten inštaluje svoj hlavný ovládač a injektuje knižnice do prehliadačov založených na jadre Chromium.
HotPage sa vydáva za bezpečnostný produkt pre čínske internetové kaviarne a tvrdí, že dokáže blokovať reklamy. V skutočnosti však obeti zobrazuje nové reklamy. Okrem toho môže škodlivý softvér nahradiť či zmanipulovať obsah aktuálnej stránky, presmerovať používateľa alebo jednoducho otvoriť novú kartu webovej stránky plnej ďalších reklám. Spomínaný ovládač tohto advéru navyše otvára nové zraniteľnosti a vystavuje tak systém ďalším, ešte nebezpečnejším hrozbám.
Útočník s neprivilegovaným účtom by mohol zraniteľný ovládač zneužiť na získanie vyšších oprávnení alebo na injektovanie knižnice do vzdialených procesov s cieľom spôsobiť ďalšie škody, a to všetko pri použití podpísaného ovládača. Bez ohľadu na to, či je takýto softvér inzerovaný ako bezpečnostné riešenie, alebo je jednoducho pribalený k inému softvéru, možnosti udelené vďaka tejto dôvere vystavujú používateľov vážnym bezpečnostným rizikám.
No a keby vás zaujímal prehľad a štatistiky o najrozšírenejších bezpečnostných hrozbách za posledný polrok, pozývam vás prečítať si náš pravidelný Threat Report, ktorý vyšiel začiatkom leta a nájdete ho na našom webe WeLiveSecurity.com.
Celkový počet hrozieb na Slovensku zostal v porovnaní s predošlým polrokom prakticky nezmenený. V detekciách aj naďalej prevládajú phishingové podvody. Medzi najrozšírenejšie nástrahy patria aj webové stránky infikované kódom JavaScript. Znepokojivý trend však predstavuje prudký nárast downloaderov so skriptami PowerShell aj zneužívanie tematiky AI.
Podľa údajov z detekčných systémov spoločnosti ESET bol v analyzovanom období najrozšírenejšou hrozbou na Slovensku phishingový podvod HTML/Phishing.Agent trojan. Táto detekcia predstavovala viac ako 18 % zo všetkých zachytených hrozieb. Ide o škodlivú prílohu HTML imitujúcu prihlasovacie okná do populárnych služieb, ktorá sa bežne šíri prostredníctvom e-mailov s cieľom získať od obetí citlivé údaje. Na druhú priečku poskočila z tretieho miesta hrozba s názvom JS/Agent trojan, ktorej patrí na Slovensku takmer 11 % zo všetkých detekcií. JS/Agent trojan je škodlivý kód JavaScript, ktorý dokáže kompromitovať zle zabezpečené, no legitímne webové stránky. Ide často o stránky postavené na publikačnom nástroji WordPress, ktoré využívajú pluginy s bezpečnostnými zraniteľnosťami. Dramatický nárast zaznamenal ESET v prípade detekcie s názvom PowerShell/TrojanDownloader.Agent trojan. Kým v predošlom polroku obsadila s 1 % detekcií 11. miesto, aktuálne predstavuje na Slovensku tretiu najpočetnejšiu hrozbu, ktorej pripadá viac ako 7 % všetkých detekcií.
Myslím, že tento rýchly prehľad je dobrý dôkaz, že leto v ESETe je vždy zaplnené aj prácou na ochrane používateľov po celom svete, lebo aj vďaka nášmu výskumu spolu s našimi technológiami ostávajú v bezpečí. Preto vždy myslite na svoju bezpečnosť v online svete. Zároveň vám ako vždy želám zaujímavé a hlavne bezpečné surfovanie aj tento mesiac.