Společnost HP Inc. vydala svou nejnovější zprávu Threat Insights Report, která ukazuje, že útočníci stále více zneužívají „klikací únavu“ uživatelů – zejména ve spěchu a pod časovým tlakem, například při hledání výhodných nabídek na dovolenou. Analýza skutečných kybernetických útoků pomáhá organizacím držet krok s nejnovějšími technikami, které kyberzločinci používají k obejití detekce a k napadení počítačů v neustále se měnícím prostředí kyberkriminality.
Zpráva popisuje vyšetřování podezřelých domén – navazující na dřívější kampaň s CAPTCHA tématikou – při kterém byly odhaleny falešné weby pro rezervaci ubytování. Tyto podvržené stránky napodobují značku booking.com, avšak s rozmazaným obsahem a podvodným cookie bannerem, který má uživatele přimět ke kliknutí na „Přijmout“ – což spustí stažení škodlivého JavaScriptu.
Po otevření tohoto souboru se na zařízení nainstaluje XWorm, přístupový trojan (RAT), který útočníkům umožňuje převzít kontrolu nad zařízením, včetně přístupu k souborům, webkameře a mikrofonu. Navíc jim dává možnost nasazovat další malware nebo vypínat bezpečnostní nástroje.
Kampaň byla poprvé odhalena v 1. čtvrtletí letošního roku, kdy vrcholí období rezervací letních dovolených – tedy v době, kdy jsou uživatelé zvláště náchylní k cestovatelským lákadlům. Aktivní však zůstává i nadále a stále jsou registrovány a využívány další domény pro šíření podobných falešných webů.
Patrick Schläpfer, hlavní výzkumník hrozeb v HP Security Lab, to komentuje: „Od zavedení předpisů na ochranu soukromí, jako je GDPR, jsou cookie okna natolik běžná, že je většina uživatelů odklikne téměř bez přemýšlení. Napodobením vzhledu webu pro rezervaci cest v momentu, kdy uživatelé spěchají s plánováním dovolené, útočníci nepotřebují žádné sofistikované triky – stačí dobře načasovaná výzva a automatická reakce uživatele.“
Na základě dat z milionů koncových zařízení se zabezpečením HP Wolf Security výzkumníci HP také zjistili:
- Skryté podvodné soubory: Útočníci využívali soubory Windows Library k ukrytí malwaru v běžně vypadajících složkách, například „Dokumenty“ nebo „Stažené“. V Průzkumníku Windows se obětem zobrazilo pop-up okno se vzdálenou složkou WebDAV a zástupcem ve formátu PDF, jehož otevření spustilo malware.
- Past v PowerPointu: Škodlivý soubor PowerPoint otevřený v režimu celé obrazovky napodoboval běžné otevření složky. Kliknutí uživatele na „zavření“ spustilo stažení archivu obsahujícího VBScript a spustitelný soubor, který stáhl malware hostovaný na GitHubu.
- Nárůst využívání MSI instalátorů: Instalátory MSI jsou nyní mezi nejčastějšími typy souborů pro šíření malwaru, hlavně díky kampaním ChromeLoader. Často jsou distribuovány přes falešné stránky se softwarem a škodlivé reklamy a využívají platné digitální certifikáty k ověřování pravosti kódu, aby vypadaly důvěryhodně a obešly bezpečnostní varování Windows.
Izolováním hrozeb, které unikly detekčním nástrojům v počítačích – ale přesto umožňují bezpečné spuštění malwaru v zabezpečených kontejnerech – získává HP Wolf Security specifický vhled do nejnovějších technik používaných kyberzločinci. Doposud uživatelé HP Wolf Security klikli na více než 50 miliard e-mailových příloh, webových stránek a stažených souborů bez hlášených bezpečnostních incidentů.
Dr. Ian Pratt, šéf bezpečnosti osobních systémů HP Inc., říká: „Uživatelé si postupně zvykají ignorovat pop-up okna a žádosti o oprávnění, což útočníkům usnadňuje průnik. Často nejde o sofistikované útoky, ale o běžné situace, které uživatele zaskočí. Čím častěji se setkávají s těmito rizikovými interakcemi, tím pravděpodobněji se stanou obětí útoku. Omezení rizikových situací, například při klikání na nedůvěryhodný obsah, pomáhá firmám snižovat celkovou zranitelnost, aniž by musely předvídat každý možný útok.“