Stranice vizuelno podsjećaju na zvanični Microsoft sajt, ali se nalaze na sumnjivim domenima i nude maliciozni instalacioni fajl umjesto legitimnog ažuriranja.
Prije isporuke fajla, napadači provjeravaju IP adresu posjetioca. Ako detektuju bezbjednosne istraživače ili data centre, korisnika preusmjeravaju na Google. Samo oni koji izgledaju kao kućni ili poslovni korisnici dobijaju zlonamjerni sadržaj.
Ova taktika omogućila je da ova kampanja traje toliko dugo, a da je automatizovani sistemi zaštite ne otkriju i ne zaustave. Infrastruktura je konfigurisana tako da izbjegne automatizovanu bezbjednosnu analizu.
Instaler ms-update32.exe djeluje legitimno, a distribucija preko HTTPS konekcija (uključujući GitHub infrastrukturu) dodatno otežava detekciju. Nakon pokretanja, malver preuzima dodatne komponente i započinje prikupljanje podataka sa sistema.
Cilj su sačuvane lozinke iz pregledača, aktivne sesije i kolačići, podaci iz kripto novčanika i ekstenzija pregledača, i sistemske informacije potrebne za dalju kompromitovanje.
Ovi podaci omogućavaju napadačima preuzimanje naloga bez potrebe za lozinkom, kao i direktan pristup kripto novčanicima.
Upotreba plaćenih oglasa kao distribucionog kanala čini kampanju posebno opasnom, jer korisnici često imaju veće povjerenje u sadržaj koji se prikazuje kroz zvanične oglasne mreže.
Kako da se zaštitite:
– Windows ažuriranja preuzimajte isključivo kroz Settings → Windows Update.
– Ne klikćite na oglase za sistemska ažuriranja.
– Provjeravajte URL adresu prije preuzimanja bilo kakvog instalera.
– Ako sumnjate na infekciju, tretirajte sistem kao kompromitovan i promjenite lozinke sa bezbjednog uređaja, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.