Veebis turvalisuse tagamiseks peavad kõik olema teadlikud pahatahtlikest manustest, mida tavaliselt kasutatakse andmepüügimeilides pahavara levitamiseks.
Pahavara levitades loovad ohud rämpspostikampaaniaid, mis teesklevad arvete, kutsete, makseteabe, saatmisteabe, e-faksi, kõneposti ja muu olevat. Need meilid sisaldavad pahatahtlikke Wordi ja Exceli manuseid või linke neile, mis avamisel ja makrode lubamisel installivad arvutisse pahavara.
Kuid enne, kui Word või Excel hakkab dokumendis makrosid käivitama, nõuab Office, et klõpsaksite nuppudel 'Luba redigeerimine' või 'Luba sisu', mida te ei tohiks kunagi teha.
Ärge kunagi klõpsake saadud manuste juures nuppu Luba sisu
Et meelitada kasutajaid neid nuppe klõpsama, loovad pahavara levitajad Wordi ja Exceli dokumente, mis sisaldavad teksti ja pilte, mis näitavad, et dokumendi vaatamisel on probleeme. Järgmisena paluge adressaatidel sisu õigeks vaatamiseks klõpsata „Luba sisu” või „Luba redigeerimine”.
Nendes pahatahtlikes manustes olevat teksti ja kujutiste kombinatsiooni nimetatakse dokumendimallideks.
Allpool on toodud mitmed dokumendimallid, mida on kasutatud rämpspostikampaaniates mõne kõige populaarsema pahavaraga nakatumise korral.
Tuleb märkida, et neid dokumendimalle saab kasutada ka muu pahavaraga kui need, mis on seotud allpool. Samuti on see näide kõige tavalisematest mudelitest, kuid saadaval on palju rohkem.
BazarLoader
BazarLoader on ärile suunatud pahavara, mille on välja töötanud sama grupp TrickBoti troojalase taga. Pärast installimist kasutavad ohutegijad arvutile kaugjuurdepääsuks BazarLoader/BazarBackdoori, mida seejärel kasutatakse ülejäänud võrgu ohustamiseks.
Kui võrk on BazarLoaderiga nakatunud, levitavad ohud lõpuks Ryuki lunavara, et krüpteerida kõik võrgus olevad seadmed.
Andmepüügimeilid, mida BazarBackdoor andmepüügimeilide kaudu levitab, sisaldavad tavaliselt linke väidetavatele Wordi või Exceli dokumentidele, mida hostitakse Google'i dokumentides ja Google'i arvutustabelites.
Need Google'i dokumendid aga teesklevad, et neil on probleem, ja paluvad teil dokument alla laadida. See allalaaditav fail on tegelikult käivitatav fail, mis installib BazarLoaderi, nagu allpool näidatud.
BazarLoader – võlts Google Docsi hostitud manus
Dridex
Dridex on täiustatud ja modulaarne pangandustroojalane, mis tuvastati esmakordselt 2014. aastal ja mida pidevalt uuendatakse.
Pärast nakatumist laadib Dridex alla erinevaid mooduleid, mida saab kasutada paroolide varastamiseks, arvutile kaugjuurdepääsu võimaldamiseks või muude pahatahtlike toimingute tegemiseks.
Kui Dridex kahjustab võrke, viib see tavaliselt nende levitamiseni BitPaymeri või Dridexi lunavararünnakud .
Veel üks WastedLockeri nime all tuntud lunavara arvatakse olevat samuti seotud Dridexiga, kuid küberjulgeoleku ettevõttega ei nõustu nende arvustustega .
Erinevalt teistest pahavara levitamise kampaaniatest kasutab Dridex grupp rohkem stiliseeritud dokumendimalle, mis kuvavad väikest või hägustatud sisu ja paluvad teil parema ülevaate saamiseks klõpsata käsul Luba sisu.
Näiteks näitab järgmine mall, et dokument loodi Microsoft Office Wordi varasemas versioonis ja selle all kuvatakse raskesti loetav dokument.
Dridex: Loodud Wordi varasemas versioonis
Dridex kasutab ka rohkem stiliseeritud dokumendimalle, mis väidetavalt on DHL-i ja UPS-i tarneteave.
Dridex: vale DHL-i saatmisteave
Lõpuks kuvab Dridex väikesed, raskesti loetavad maksearved, paludes teil nende õigeks kuvamiseks klõpsata „Luba redigeerimine”.
Dridex: võltsarve Intuit
Nagu ülaltoodud näidetest näete, meeldib Dridexile kasutada ettevõtte logode ja kirjaplangidega dokumendipilte, et meelitada kasutajaid makrosid lubama.
Emotet
Emotet on kõige levinum pahavara rämpsposti kaudu, mis sisaldab pahatahtlikke Wordi või Exceli dokumente. Kui Emotet on nakatunud, varastab see ohvri meili ja kasutab nakatunud arvutit, et saata rohkem rämpsposti adressaatidele üle kogu maailma.
Emotetiga nakatunud kasutajad nakatuvad lõpuks veelgi troojalastega nagu TrickBot ja QakBot. Mõlemat troojalast kasutatakse paroolide, küpsiste ja failide varastamiseks ning organisatsiooni võrgutasandil kompromisside tekitamiseks.
Lõppkokkuvõttes, kui TrickBotiga nakatuda, mõjutab võrk tõenäoliselt Ryuki või Conti lunavararünnakut. Neid, keda QakBot mõjutab, võib ProLocki lunavara mõjutada.
Erinevalt Dridexist ei kasuta Emotet oma dokumendimallides tegelikke dokumendipilte. Selle asemel kasutavad nad mitmesuguseid malle, mis kuvavad akna hoiatuse, et dokumenti ei saa õigesti kuvada ja kasutajad peavad selle lugemiseks klõpsama nuppu 'Luba sisu'.
Näiteks allpool näidatud muster 'Punane koit' näitab 'See dokument on kaitstud' ja seetõttu peate selle lugemiseks lubama sisu.
Dridex: mall „See dokument on kaitstud”.
Uusim mudel teeb näo, et seda ei saa korralikult avada, kuna see loodi iOS-i seadmes.
Emotet: loodud iOS-i seadmes
Teine väidab, et dokument loodi operatsioonisüsteemis Windows 10 Mobile, mis on kummaline sõnum, kuna Windows 10 Mobile on juba ammu lõpetatud.
Emotet: ehitatud operatsioonisüsteemile Windows 10 Mobile
Järgmine mall teeskleb, et dokument on kaitstud vaates ja kasutaja peab selle õigeks vaatamiseks klõpsama käsul Luba redigeerimine.
Emotet: kaitstud vaade
Järgmine mudel on natuke huvitavam, kuna see käsib kasutajatel enne dokumendi vaatamist nõustuda Microsofti litsentsilepinguga.
Emotet: nõustuge litsentsilepinguga
Veel üks huvitav mudel on väidetavalt Microsoft Office'i aktiveerimisviisard, mis palub kasutajatel Office'i aktiveerimise lõpuleviimiseks lubada redigeerimise.
Emotet: Office'i aktiveerimisviisard
Lõpuks on Emotet tuntud selle poolest, et kasutab dokumendimalli, mis teeskleb Microsoft Office'i teisendusviisardina.
Emotet: transformatsiooni assistent
Nagu näete, kasutab Emotet stiliseeritud dokumendimallide asemel üldisi hoiatusi, et panna kasutajad manusele makrosid lubama.
QakBot
QakBot ehk QBot on andmepüügikampaaniate kaudu leviv pangandustroojalane, mis edastab pahatahtlikke Microsoft Wordi dokumente, tavaliselt ettevõtetele.
QakBot on modulaarne troojalane, mis sisaldab võimalust varastada pangateavet, installida muud pahavara või pakkuda nakatunud masinale kaugjuurdepääsu.
Sarnaselt teistele selles artiklis toodud troojalastele on QakBotit seostatud ka lunavaranakkusega ProLock, mis on sageli rünnaku viimane kasulik koormus.
Võrreldes Emotetiga kasutavad QakBoti kampaaniad rohkem stiliseeritud dokumendimalle. Kõige tavalisem QakBoti rämpspostikampaaniate muster pärineb DocuSignist, nagu allpool näidatud.
QakBot: DocuSigni mudel
Muud mallid hõlmavad selliseid, mis näivad olevat pärit Microsoft Defenderist või Wordi värskendusest ja aktiveerimiskuvast, nagu allolev.
QakBot: Wordi aktiveerimise ja värskendamise viga
Kõik käivitatavad manused
Lõpuks ei tohiks kunagi avada manuseid, mis lõpevad laienditega .vbs, .js, .exe, .ps1, .jar, .bat, .com või .scr, kuna neid saab kasutada arvutis käskude täitmiseks.
Kuna enamik meiliteenuseid, sealhulgas Office ja Gmail, blokeerivad käivitatavad manused, saadavad pahavara levitajad need parooliga kaitstud arhiividesse ja lisavad parooli meilidesse.
See tehnika võimaldab käivitataval manusel e-posti turvalüüsidest mööda minna ja jõuda ettenähtud adressaadini.
See võimaldab käivitataval manusel e-posti turvalüüsidest mööda minna ja soovitud adressaadini jõuda.
JAR rünnak
Kahjuks on Microsoft otsustanud faililaiendid vaikimisi peita, võimaldades ohtudel kasutajaid ebaturvalisi faile käivitada. Sel põhjusel soovitab BleepingComputer tungivalt kõigil Windowsi kasutajatel lubada faililaiendite kuvamine.
Kui saate meili, mis sisaldab mõnda seda tüüpi täitmisfaile, on see peaaegu kindlasti pahatahtlik ja see tuleks kohe eemaldada.
Mida sa arvad?
