Δύο λέξεις που αρκούν για να προκαλέσουν τρόμο σε όσους ενδιαφέρονται για την κυβερνοασφάλεια είναι τα Windows και οι κωδικοί πρόσβασης. Αν τις συνδυάσεις, έχεις τις βάσεις για έναν αυθεντικό εφιάλτη ασφάλειας.
Με επιθέσεις τύπου password spraying σε λογαριασμούς Microsoft και προειδοποιήσεις σχετικά με το άνοιγμα συγκεκριμένων αρχείων στο Outlook, ενώ τα email, οι κωδικοί και οι κωδικοί 2FA βρίσκονται υπό επίθεση, δεν προκαλεί έκπληξη η αυξημένη ανησυχία. Και τώρα, με την επιβεβαίωση μιας νέας απειλής που κλέβει κωδικούς και ονομάζεται XFiles, τα πράγματα μοιάζουν ακόμη πιο ανησυχητικά. Όπως λένε, «η αλήθεια είναι εκεί έξω».
Ποιοι είναι οι επιτιθέμενοι που στοχεύουν τους χρήστες Windows;
Μια ομάδα που αυτοαποκαλείται «ελίτ κυνηγοί απειλών» και αναλυτές στον τομέα της κυβερνοασφάλειας εξέδωσε προειδοποίηση ότι επιτιθέμενοι χρησιμοποιούν ένα κακόβουλο λογισμικό με την ονομασία XFiles – γνωστό και ως DeerStealer – για να στοχεύσουν χρήστες Windows. Στόχος είναι η παραβίαση των κωδικών πρόσβασης, που στη συνέχεια πωλούνται σε παράνομες αγορές του σκοτεινού διαδικτύου.
Σύμφωνα με αναφορά της eSentire Threat Response Unit που δημοσιεύτηκε στις 12 Ιουνίου, κατά τη διάρκεια του Μαΐου οι δράστες χρησιμοποίησαν το κακόβουλο λογισμικό XFiles για να υποκλέψουν κωδικούς, οι οποίοι φέρεται να διακινούνται από έναν χρήστη του dark web με το ψευδώνυμο LuciferXfiles.
Πώς λειτουργεί η επίθεση;
Οι μέθοδοι που χρησιμοποιούνται είναι, δυστυχώς, γνώριμες. Περιλαμβάνουν επιθέσεις ClickFix, που αξιοποιούν ψευδείς τεχνικές υποστήριξης. Αυτές παρουσιάζονται ως δήθεν έγκυρες ειδοποιήσεις για προβλήματα ασφαλείας με τον λογαριασμό, συνδυασμένες με ψεύτικες επαληθεύσεις τύπου Captcha. Ο χρήστης οδηγείται να εκτελέσει εντολές μέσω του Windows Run prompt, δηλαδή του παραθύρου «Εκτέλεση».
Αν ο χρήστης φτάσει σε αυτό το στάδιο, κατεβάζει ένα εργαλείο με την ονομασία HijackLoader, το οποίο συχνά είναι καμουφλαρισμένο μέσα σε ένα κρυπτογραφημένο αρχείο PNG. Αυτό το εργαλείο στη συνέχεια κατεβάζει το πραγματικό ωφέλιμο φορτίο: το κακόβουλο πρόγραμμα υποκλοπής δεδομένων XFiles, που έχει ως στόχο τους κωδικούς, τα cookies συνεδριών 2FA από προγράμματα περιήγησης, μηνύματα instant messaging και άλλα ευαίσθητα δεδομένα.
Πώς να προστατευτείτε
Η αναφορά της eSentire προσφέρει μερικά κρίσιμα μέτρα άμυνας:
- Απενεργοποιήστε το Run Prompt: Πηγαίνετε στη διαδρομή User Configuration > Administrative Templates > Start Menu and Taskbar και ενεργοποιήστε την επιλογή «Remove Run menu from Start Menu».
- Εφαρμόστε φίλτρα και προστασία για το email.
