You are currently viewing Ψεύτικοι ιστότοποι υποδύονται δημοφιλή προϊόντα antivirus για να διαδώσουν κακόβουλο λογισμικό.

Το Advanced Research Center της Trellix ανακάλυψε μια σειρά από ψεύτικους ιστότοπους antivirus (AV) που διανέμουν εξελιγμένο κακόβουλο λογισμικό.

Αυτοί οι ιστότοποι, που υποδύονται νόμιμους παρόχους antivirus όπως η Avast, η Bitdefender και η Malwarebytes, φιλοξενούν αρχεία με δυνατότητες κατασκοπείας και κλοπής δεδομένων, στοχεύοντας ανυποψίαστους καταναλωτές που αναζητούν λύσεις για την κυβερνοασφάλειά τους.

Οι ψεύτικοι ιστότοποι antivirus και το κακόβουλο λογισμικό που εντοπίστηκαν είναι:

avast-securedownload.com (Avast.apk)
Αυτό το πακέτο Android (.apk) ζητά δικαιώματα για την εγκατάσταση/διαγραφή πακέτων, πρόσβαση στα αρχεία καταγραφής κλήσεων, SMS, επαφές, δεδομένα αποθήκευσης, κατάσταση δικτύου, κατάσταση Wi-Fi, καταγραφή ήχου και άλλα. Περιλαμβάνει επίσης λειτουργίες κατασκοπείας, όπως λήψη στιγμιότυπων οθόνης, παρακολούθηση δραστηριότητας αφής και μη εξουσιοδοτημένη εγκατάσταση προγραμμάτων. Το κακόβουλο λογισμικό λειτουργεί ως εξορύκτης κρυπτονομισμάτων και ιχνηλάτης θέσης, εξάγοντας δεδομένα σε εξωτερικούς διακομιστές.

Malicious Trellix Binary (AMCoreDat.exe)
Αυτό το εκτελέσιμο αρχείο, μεταμφιεσμένο ως νόμιμο αρχείο ενημέρωσης περιεχομένου της Trellix, διασπά το φορτίο του σε πολλά αρχεία στον κατάλογο %appdata%. Στη συνέχεια, επανενώνει το φορτίο, αποφεύγοντας την ανίχνευση από τα antivirus. Το φορτίο τερματίζεται εάν ανιχνεύσει τη διαδικασία “avastui.exe”. Αν όχι, προχωρά στην κλοπή πληροφοριών όπως το όνομα του υπολογιστή, το όνομα χρήστη, η εγκατεστημένη μνήμη, τα δεδομένα σύνδεσης και το ιστορικό περιήγησης.

malwarebytes.pro (MBSetup.rar)
Αυτός ο ιστότοπος παρέχει ένα αρχείο RAR που περιέχει έναν εγκαταστάτη Inno Setup, ένα αρχείο readme και αρκετά DLL που φαίνονται νόμιμα. Η ανάλυση αποκάλυψε την παρουσία φορτίων .NET και C++ κρυπτογραφημένων με AES και XOR, αντίστοιχα. Το φορτίο C++, με την ονομασία “StealC,” εξάγει δεδομένα όπως tokens λογαριασμών, προφίλ συστήματος και διαπιστευτήρια προγραμμάτων περιήγησης σε έναν διακομιστή ελέγχου και διοίκησης (C2C).

bitdefender-app.com (setup-win-x86-x64.exe.zip)
Ο κακόβουλος ιστότοπος παρέχει ένα αρχείο ZIP που περιέχει ένα εκτελέσιμο αρχείο με διπλή επέκταση EXE. Το νόμιμο λογισμικό σπάνια χρησιμοποιεί τέτοιες ονομασίες, γεγονός που προκαλεί αρχική υποψία. Το κακόβουλο λογισμικό χρησιμοποιεί λειτουργίες TLS callback και αποφεύγει την ανίχνευση, εισάγοντας τον εαυτό του στο “BitLockerToGo.exe”. Συλλέγει ευαίσθητες πληροφορίες όπως το όνομα του υπολογιστή, το όνομα χρήστη, το hardware ID, τα δεδομένα σύνδεσης, το ιστορικό περιήγησης και άλλα.

Σας παραθέτουμε ενδεικτικά κάποιες ιστοσελίδες, εκεί έξω υπάρχουν αμέτρητες.

Για να προστατευτείς από ψεύτικους ιστότοπους που διανέμουν επικίνδυνα αρχεία, ακολούθησε αυτά τα βήματα:

  1. Έλεγξε τη διεύθυνση URL: Βεβαιώσου ότι η διεύθυνση του ιστότοπου αρχίζει με “https://” και όχι με “http://”. Το “s” σημαίνει ότι ο ιστότοπος χρησιμοποιεί κρυπτογράφηση για να προστατεύσει τα δεδομένα σου.
  2. Πρόσεξε για ασυνήθιστες διευθύνσεις URL: Ψεύτικοι ιστότοποι συχνά έχουν περίεργες ή πολύπλοκες διευθύνσεις που μιμούνται τις επίσημες.
  3. Μην κατεβάζεις αρχεία από άγνωστες πηγές: Εάν δεν είσαι σίγουρος για την αξιοπιστία ενός ιστότοπου, μην κατεβάζεις αρχεία από αυτόν.
  4. Χρησιμοποίησε λογισμικό προστασίας από ιούς: Κράτα το λογισμικό προστασίας από ιούς ενημερωμένο και άφησέ το να σκανάρει τα αρχεία που κατεβάζεις.
  5. Έλεγξε τις κριτικές και τη φήμη του ιστότοπου: Πριν κατεβάσεις κάτι, ψάξε κριτικές ή σχόλια άλλων χρηστών για τον ιστότοπο.
  6. Απέφυγε τα αναδυόμενα παράθυρα (pop-ups): Αυτά συχνά χρησιμοποιούνται για να διανέμουν κακόβουλο λογισμικό.
  7. Ενημέρωσε τακτικά το λειτουργικό σου σύστημα και τους περιηγητές: Αυτό θα σε προστατέψει από γνωστές ευπάθειες που μπορεί να εκμεταλλευτούν οι επιτιθέμενοι.

Ακολουθώντας αυτά τα βήματα, μπορείς να μειώσεις σημαντικά τον κίνδυνο από ψεύτικους ιστότοπους.