Według najnowszych doniesień, popularna aplikacja antywirusowa Microsoft Defender, dostępna we wszystkich systemach Windows od czasów Vista, nie była w stanie wykryć złośliwego oprogramowania, które przejęło kontrolę nad kontem Google ofiary. W wyniku ataku skradziono kryptowalutę o wartości ponad 24 tysięcy dolarów.
Ofiara ataku podzieliła się swoją historią na forum, wyjaśniając, że została zmanipulowana przez oszusta, który skontaktował się z nią za pośrednictwem aplikacji Telegram. Wiadomość zachęcała do pobrania gry science-fiction blockchain pod nazwą Orbit Unit. Gra okazała się fałszywką, a jej instalacja aktywowała złośliwe oprogramowanie. Co kluczowe, Microsoft Defender nie zareagował ani podczas pobierania, ani instalacji gry. Złośliwe oprogramowanie wykorzystało PowerShell do uruchomienia skryptów, które zainstalowały nieautoryzowane rozszerzenie przeglądarki Chrome, podszywające się pod narzędzie Google Keep. W rzeczywistości to rozszerzenie zostało zaprojektowane do kradzieży danych logowania, plików cookie, historii przeglądania i informacji wprowadzanych w przeglądarce. Atakujący uzyskał dostęp do odblokowanego menedżera haseł Bitwarden ofiary, co pozwoliło mu przejąć kontrolę nad rozszerzeniami portfela kryptowalutowego i ukraść zgromadzone w nim środki.
Nowy przypadek cyberprzestępczości ukazuje, jak niebezpieczne może być poleganie wyłącznie na domyślnych rozwiązaniach antywirusowych.
Badania potwierdzają podatności
Zespół badaczy z SafetyDetectives przeanalizował zgłoszenie i potwierdził jego autentyczność. Testy na maszynie wirtualnej z systemem Windows, wyposażonej wyłącznie w Microsoft Defender, wykazały, że program nie rozpoznał zagrożenia. Złośliwe oprogramowanie bez przeszkód zainstalowało się, obchodząc systemy dwuskładnikowego uwierzytelniania (2FA) oraz umożliwiając zdalne sterowanie urządzeniem. Z kolei testy z innymi antywirusami, takimi jak Malwarebytes i Bitdefender, przyniosły bardziej pozytywne wyniki. Malwarebytes, z włączoną ochroną w czasie rzeczywistym, zablokował instalację złośliwego oprogramowania, zanim mogło ono wyrządzić szkody. Bitdefender wykrył zagrożenie później, ale zatrzymał proces uzyskiwania dostępu do wrażliwych danych, zapobiegając atakowi.
Atakujący nie rusza Rosjan, Białorusinów i Ukraińców
Złośliwe oprogramowanie okazało się zaawansowane technicznie, a jego działanie uwzględniało geolokalizację ofiary. Jeśli urządzenie znajdowało się w Rosji, na Ukrainie lub Białorusi, złośliwy kod nie był aktywowany. Eksperci podejrzewają, że taka polityka wynika z lokalizacji samych atakujących, choć nie można tego jednoznacznie potwierdzić.
Rozszerzenie przeglądarki działało jako cichy szpieg, monitorując aktywność użytkownika. Zbierało dane logowania, kopiowane treści i inne poufne informacje, co pozwalało hakerom przejmować konta bez potrzeby znajomości haseł – wystarczały zapisane tokeny logowania w przeglądarce.
Eksperci z SafetyDetectives zalecają, aby unikać przechowywania wrażliwych danych cyfrowo, szczególnie w przypadku portfeli kryptowalut. Kluczowe hasła, frazy odzyskiwania i dane logowania powinny być zapisywane na papierze i przechowywane w bezpiecznym miejscu, takim jak sejf. Warto również zainwestować w sprzętowy portfel kryptowalutowy, który wymaga fizycznego potwierdzenia każdej operacji, co znacząco utrudnia atakującym przejęcie środków. Dodatkowo korzystanie z renomowanego oprogramowania antywirusowego z ochroną w czasie rzeczywistym może zablokować złośliwe oprogramowanie, zanim zdąży ono wyrządzić szkody.
Pokaż / Dodaj komentarze do: Windows oskubał go z oszczędności. Tak jakby